21 октября 2008 в 19:34
кто нибудь пробовал вводить в поля, где используется autocomplete символы типа "../../../../../" ?
А к примеру, "../../../includes/заведомо_существующий_файл" , да особенно под мозиллой файерфоксом ?
Комментарии
"../../../../includes/cache-install.inc"
FF+FireBug.
МДЕ
подтверждаю. писец имеет место быть
в 5ке те же йайцы. на 5ках у меня доступ к инклудам запрещен.
есть ставишь ../../../../существующий ури - жабаскрипт автокомплита пробует его тянуть. что кстати тоже скотство
это не уязвимость но серьезный баг автокомплита...
--- потестил:
"../../../../includes/cache-install.inc" под нормально настроенных хостингом выдает 403
а вот
../../../../index.php отдает в фаербаге индекс.пхп
Надо срочно писать на д.орг.
Не поленился, отправил репорт.
На ../../../../sites/default/settings.php выдает ответ200, но в содержании файла - только строка Loading... интересно почему?
Полагаю это проблема не автокомплита, а настроек хостинга. На другом хосте под апачем я не смог это воспроизвести. JS ведь по определению не отдаст то, что не отдаёт вебсервер. На drupal.ru доступ к исходникам не закрыт - т.е. можно и так получить drupal.ru/includes/cache.inc. По идее в них ничего секретного. С другой стороны, если уж закрывать, то всё - поправил конфиг nginx, попробуйте теперь.
у меня /includes/cache.inc идет на index.php?q=includes/cache.inc
Тоже с модулями и со всем остальным.
Имеем друпаловский 404 замененный на свой
Потому многим непонятно что там друпал вообще стоит
Не понимаю, а почему autocomplete лезет по URI, указанному в инпуте?
Но уязвимости нет. С таким же успехом "уязвимость" - возможность набрать в браузере "http://drupal.ru/sites/default/settings.php"
хм
только что видел на api.drupal.org сообщения об ошиках в autocomplit видимо ковыряют
ну да, это я просто поторопился, здесь увидел этот косяк, но не подумал, что тут просто-напросто доступ к содержимому файлов в папке includes открыт, вот оно меня потому и удивило