Abuse Melding

Je hebt een klacht over de onderstaande posting:

17-05-2013, 18:39 door rob

Als je http://www.website.com/../../etc/passwd invult corrigeert je browser dit automatisch naar /etc/passwd omdat http://www.website.com/ geen directory is, het is een URL, een identifier voor de website. Bijna goed: het is niet de browser die het "corrigeert", maar de webserver. In geval van een script, dus bijv. /iets.php?f=../../../../../etc/passwd ; dan ligt in dat geval de verantwoordelijkheid bij het *script* (iets.php) om de ../ 's eruit te halen. Sommige scripts doen dit door bijv. alle '/' characters te replacen met '\/'. Als je http://www.website.com/index.php?id=../../etc/passwd invult en er is een path traversal vulnerability aanwezig dan opent de parameter 'id=' waar een script achter hangt dat zegt dat hij een bestandje moet openen, het bestand wat als id wordt aangegeven. Wat inhoud, 2 directories terug, en dan naar etc/passwd. Edit: er stonden wat foutjes in.. Gecorrigeerd graag gedaan

Beschrijf je klacht (Optioneel):

captcha