Ver Mensaje Individual
  #8 (permalink)  
Antiguo 16/12/2014, 11:31
Avatar de NSD
NSD
Colaborador
 
Fecha de Ingreso: mayo-2012
Ubicación: Somewhere
Mensajes: 1.332
Antigüedad: 12 años, 7 meses
Puntos: 320
Respuesta: Signo de pesos contenido en una variable

Cita:
Si en el formulario alguien poner rm- f directorio u otro comando no pasa nada ya que el script que recibe ese parametro da un error. el scrip espera recibir un usuario y contraseña, si en el campo contraseña pongo un comando no hace nada.
El problema no es lo que el script espera sino lo que la shell interpreta.
Con el texto correcto, se podría hacer que tu script nunca se ejecutara y en su lugar disparar otro comando, solo es cuestión de armar la sintaxis correctamente para que eso ocurra.

Este tipo de ataques se llama shell-injection y es de los mas peligrosos. Con una linea de código pueden literalmente vaciarte el servidor y hacerte perder todo.

Tu has lo que quieras, estas avisado.
__________________
Maratón de desafíos PHP Junio - Agosto 2015 en FDW | Reglamento - Desafios