#php
#php
Вопрос:
Я пытался запустить что-то вроде этого http://abcd.com/../../xyz/a.do через браузер.Но это не удалось.
Мой вопрос в том, можем ли мы запустить URL, по которому он извлекает данные из каталогов, не дочерних abcd.com
Спасибо
Редактировать:
Допустим, у меня есть эта структура каталогов в /www /:
/xzy
/blah / abcd.com/
И я хочу получить доступ к данным в / xyz
Комментарии:
1. Вы имеете в виду подделку хоста, чтобы указать на каталог? Трудно понять вашу проблему.
2. вы можете использовать свой PHP для извлечения таких данных. Но вы окажете себе ОГРОМНУЮ услугу, если опишете свою реальную цель с реальными примерами данных, реальными названиями каталогов и тому подобным
Ответ №1:
Нет.
Относительные URI преобразуются клиентом в абсолютные URI. ../ просто приводит к удалению предыдущего каталога. Если его нет, то ../ игнорируется.
Было бы довольно серьезной проблемой безопасности, если бы веб-серверу можно было дать указание извлекать произвольный контент сверху веб-корня.
Ответ №2:
Это очень старый эксплойт безопасности (обход каталога), который действительно работал несколько лет назад. В настоящее время веб-серверы не подвержены этому.