Fwd: [Fwd: Re: [Owasp-italy] File inclusion - Directory traversal]

Daniele Muscetta muscetta at gmail.com
Wed Feb 9 10:16:28 EST 2005


On Wed, 09 Feb 2005 14:03:32 +0100, Astharot <astharot at autistici.org> wrote:
> Giro perchè mi è arrivato in privato :)

non sono sicuro che l'autore del messaggio che te l'ha scritto in PVT
fosse intenzionato a postare sulla lista.... cmq....



> ---------- Forwarded message ----------
> From: "Antonio"
> To: "Astharot"
>
> >Cosa consigliate voi? Per il traversal? Filtrare semplicemente ".." ?
> Piu' che un filtraggio, penso che una decisione migliore sia quella di limitare
> la visibilitata' a PHP, ovvero impostargli come root directory il solito
> /var/www/

Si, ma se hosti tantissimi siti che stanno nelle home directory degli
utenti (caso molto comune per i provider) e non sotto un unica "root
dir" (la /var/www dell'esempio) ?


> In caso tu volessi fare un filtering sui caratteri, ti consiglio invece di
> filtrare in base ad un lista di caratteri non consentiti, di filtrarli in
> base ad una lista di caratteri consentiti.

questo e' sempre bene.


> Infatti filtrando solamente il .., non filtreresti una sua
> eventuale codifica. Se invece il carattere 'tot' non appartiene all'insieme
> dei caratteri permessi, allora segnala l'errore.
> [...]
> Fai molta attenzione perche' il carattere .. e' molto particolare da filtrare,
> non puoi non inserire il punto nel tuo insieme di caratteri validi!


vedasi:

http://www.qwikiwiki.com/index.php?page=QwikiWiki_Vulnerability

e' questa secondo voi una patch valida/buona ?

Daniele




More information about the Owasp-italy mailing list