| |
|
|
| |
для: tAleks
(20.09.2008 в 15:45)
|
| | Фрейм часто используют для того, чтобы закинуть на клиента трояна.
Я делал на базе фрейма нечто типа AJAX. Получилось так, что я допустил небольшую ошибку, и вместо того, чтобы отображать полученное содержимое, фрейм предлагал сохранить файл. Этот вопрос "почему" я задавал здесь, ответа не было. Это и к лучшему. Сразу скажу, что кроме фрейма нужно еще одно маленькое условие, о котором я говорить не буду. Хотя, если зайти на форумы хакеров, там такое можно почерпнуть, так, что это многое не является секретом. В общем немного потренировавшись, я мог получать (на локалке, в проэкте) значения переменных файлов конфигурации, определенные константы и т.п.. Представьте теперь, если я разрешаю пользователю запускать его любой код у себя, да еще при такой ситуации. Я однажды в начале знакомства с РНР допустил оплошность и получил шелл, который аккуратно положили выше корневой папки сайта, и только лишь благодаря тому, что во время это заметил, удалось предотвратить крах. Будьте внимательны и благоразумны! :) | |
| |
|
