[Comm] apache и php-инклюды

Nikolay A. Fetisov =?iso-8859-1?q?naf_=CE=C1_naf=2Enet=2Eru?=
Пн Апр 7 10:05:30 MSD 2008


On Mon, 7 Apr 2008 07:38:45 +0300
Michael Bochkaryov wrote:

> > > > >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> ....
> > > > ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> > > ...
> > > Вот только так лучше не делать, если заведомо не знаешь, накой
> > > устраивать себе в системе большую дырень своими же руками :)
> > 
> > Это не дырень, это DoS.
> 
> Я про сам факт разрешения инклудить URL-ки.
> 
> Небольшая лажа у кого-то в коде и тебе подбрасывают инклуд, делающий
> много интересного на твоей системе... жуть :)

Это само собой. Но здесь - уже готовый DoS своими руками, без
каких-либо дополнительных действий. 

Причём, с одной стороны, код выглядит вполне нормально и чем-то даже
красиво - во всяком случае, как показывает печальный опыт,
программистов такие решения привлекают.
А с другой - и в системе всё тоже выглядит нормально: куча усердно
работающих процессов, нормальные записи в логах, отсутствие
сообщений об ошибках. Вот только работает всё дико медленно и клиенты
отваливаются по тайм-аутам.

-- 
С уважением,
Николай Фетисов



Подробная информация о списке рассылки community