On 05/24/2010 10:04 AM, Gabriele Brosulo wrote: > On 22/05/2010 13:17, ascii wrote: >> http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/ >> http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/ > Molto interessante! Se ho ben capito, perĂ³, con la Suhosin-Patch > attivata non funziona...
Funziona anche con Suhosin, anzi ci sono delle normalizzazioni che sul vanilla non trovi e che possono essere sfruttate. > Oppure sbaglio qualcosa? Tirando ad indovinare hai due php.ini differenti, uno che viene letto per CLI e uno per CGI, la truncation dipende dalla lunghezza della stringa in "include_path" nel file di configurazione. Ciao, Francesco `ascii` Ongaro http://www.ush.it/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
