![]() |
Цитата:
|
|
Цитата:
Будем считать что договорились |
|
Цитата:
|
Цитата:
|
Так-же любопытен вектор загрузки файла на директорию выше (upload), по дефейсу с фотками жоры было понятно, что это возможно. А как технически реализуется, любопытно.
Отправлять POST запрос с пустой сессией - не катит. В саму сессию вставить что-либо левое типа двух точек тоже нельзя, если паттерн неправильный, сессия убивается. |
Цитата:
|
Цитата:
Цитата:
|
Вопрос. Что бы предотвратить такой вид атак, следует я так понял фильтровать наличие phar://в URI запроса
??? |
| Время: 23:10 |