1. Accueil
  2. Question et réponse
  3. Tags PHP dans l'URL

Tags PHP dans l'URL

2010-07-22 6 views
1

J'ai donc fait une page d'atterrissage pour tous ces formulaires que le département marketing de mon travail fait. L'un des champs qu'ils passent est une URL vers laquelle je redirige une fois le traitement terminé - une page de remerciement.Tags PHP dans l'URL

Récemment, j'ai découvert une URL qui ressemblait à ceci:

http://www.oursite.com/folder/thank-you.php?thankyou=free-guide&amp;adgroup=<?php echo nfpa-c ?>&amp;reference=<?php echo ?>

Est-ce à quoi que ce soit, mais la forme étant créateur muet? Ma page lance d'énormes erreurs sur la sécurité et les scripts intersites, etc. Quelles sont les implications de cela? Y a-t-il une raison légitime de le faire? EDIT/UPDATE: Ma page de destination est en ASP.NET. L'erreur qu'il mentionne est un script inter-site possible.

Source

2010-07-22 Brandi

+0

Je ne comprends pas votre question du tout. Qui jette d'énormes erreurs sur quoi exactement? Où se termine la page d'atterrissage? Y a-t-il une raison légitime de faire quoi? –

+0

Je ne vois pas de balises php ... vouliez-vous dire la partie '.php'? C'est l'extension de fichier, oui pour une page PHP, qui si votre site n'est pas écrit (à en juger par le tag asp.net sur la question) serait un peu étrange. –

+0

Ahh, a plus de sens maintenant que les balises PHP sont visibles. –

Répondre

1

aucune raison légitime de transmettre le code PHP sur l'URL comme ceci. En fait, il s'agirait d'une vulnérabilité d'exécution de code à distance, ce qui est aussi grave que de dire «Check Mate». Je m'assurerais que vous n'avez pas ce code en cours d'exécution, bien qu'il soit probablement un bogue car en php ils utiliseraient eval("echo 'nfpa-c'");, vous ne pouvez pas évaluer les balises php comme ça, donc c'est probablement du code non testé.

Source

2010-07-22 18:08:19 rook

+0

C'était exactement ça. Ils ont fait une erreur de syntaxe et nous les avons convaincus de le réparer. – Brandi

+0

En supposant que le code PHP est arrivé par hasard, comment est-ce une vulnérabilité? –

+0

@Pekka en passant le code PHP en tant que paramètre GET est le plus provocateur d'une vulnérabilité, ce bug ne l'est cependant pas. – rook

3 
<?php echo nfpa-c ?

Je ne pense pas que ce soit le affiche être stupide - cela ressemble plus à une forme de sortie n'a pas été correctement configuré (par exemple des instructions PHP utilisées dans une page .html qui ne se sont pas analysées par le PHP interprète.)

Consultez les formulaires d'origine et examinez leur code source.

Source

2010-07-22 16:38:53

+0

En fait, ceci est codé en dur dans un champ de saisie. * l'URL d'en haut – Brandi

+0

@Brandi Il est très probable que PHP soit analysé, n'est-ce pas? –

+0

Très probablement, mais comme il ne s'agit pas d'une variable, il sort juste du texte codé en dur, cela me fait penser que c'est une très mauvaise pratique de mettre les balises dans l'url. Ils ne vont pas vouloir changer leurs formes, donc je me demande quelles sont les implications de juste permettre cela et de transformer la validation sur ma page à faux? – Brandi

Questions connexes

 Questions connexes