Fwd: [Fwd: Re: [Owasp-italy] File inclusion - Directory traversal]

Daniele Muscetta muscetta at gmail.com
Thu Feb 10 16:23:24 EST 2005


On Thu, 10 Feb 2005 17:11:16 +0100, Astharot <astharot at autistici.org> wrote:
> Hai provato a encodare con %252E ? Sarebbe <CODIFICA HEX DEL %><CODIFICA
> HEX DEL .>


Non ho provato estensivamente ad usare encoding multipli... ma per
quel poco mi sembra non funzionano (su QUESTO codice. almeno, e con le
mie modeste capacita'....). Mi si potrebbe smentire (e imparerei
qualcosa).

Un paio di prove:


GET index.php?page=../_config.ph%00    non viene convertito - viene
lasciato com'e', ovviamente.

GET index.php?page=%2e%2e/_config.php%00    -> il %2e%2e viene
ritrasformato in ".." e quindi corrattamente "trattato".

GET index.php?page=%252e/_config.php%00 -> questo diventa
"%2E/_config.php", e "%25%2e" diventa "%."



Comunque penso che stiamo uscendo troppo dal topic (generico)
iniziale, e ci stiamo focalizando troppo su questo SPECIFICO baco...
magari continuiamo in PVT.

Ciao,

Daniele




More information about the Owasp-italy mailing list