Fwd: [Fwd: Re: [Owasp-italy] File inclusion - Directory traversal]

Astharot astharot at autistici.org
Thu Feb 10 11:11:16 EST 2005


Daniele Muscetta wrote:
> On Wed, 09 Feb 2005 16:21:53 +0100, Astharot <astharot at autistici.org> wrote:
> 
>>Daniele Muscetta wrote:
>>
>>>vedasi:
>>>
>>>http://www.qwikiwiki.com/index.php?page=QwikiWiki_Vulnerability
>>>
>>>e' questa secondo voi una patch valida/buona ?
>>
>>E se metto nell'url al posto di ".." qualcosa tipo "%2E%2E" ? Non c'è un
>>urldecode() che reinterpreta
> 
> 
> 
> 
> Infatti ci avevo pensato, ed e' per questo che lo sto chiedendo... 
> 
> Eppure anche encodando in modo semplice come hai appena scritto tu mi
> sembrava non funzionare piu'...
> ....probabilmente (almeno spero) che qualche funzione del genere sia
> in qualche altro punto del codice.... non ho analizzato la cosa
> abbastanza a fondo...
> 
> Daniele

Hai provato a encodare con %252E ? Sarebbe <CODIFICA HEX DEL %><CODIFICA 
HEX DEL .>

   Gerardo




More information about the Owasp-italy mailing list