FAQ

Степан Ильин aka Step

Хакер, номер #091, стр. 091-138-1

(faq@real.xakep.ru)

Задавая вопрос, подумай! Не стоит мне посылать вопросы, так или иначе связанные с хаком/крэком/фриком - для этого есть hack-faq (hackfaq@real.xakep.ru), не стоит также задавать откровенно ламерские вопросы, ответ на которые ты при определенном желании можешь найти и сам. Я не телепат, поэтому конкретизируй вопрос, присылай как можно больше информации.

Q: Подскажи, каким образом можно замаскировать использование скрипта на сервере. Для меня это очень актуально: нужно, чтобы клиенты, как и прежде, обращались к нему, но при этом не догадывались, что имеют дело не с динамической структурой, а со статической страницей.

A: Верный ход в твоем случае — воспользоваться возможностями файла .htaccess и модулем Mod Rewrite. К счастью, последний установлен практически на любом хостинге, даже самом дешевом. Допустим, что скрипту передаются два параметра: первый задает тип авторизации, а второй — числовой идентификатор пользователя. URL-адрес такой страницы будет примерно следующим: www.site.com/login.pl?type=password&id=31337. Чтобы спрятать вызов скрипта достаточно добавить в .htaccess 2 следующие строчки:

RewriteEngine On

RewriteRule ^ ([a-zA-Z]+)/ ([0-9]+).html login.pl?type=$1;id=$2

Готово. Теперь страница легко отзовется по адресу: www.site.com/password/31337.html. Теперь комментарии по коду. Первая строчка включает механизм переписывания URL (подрубает модуль Mod Rewrite). Вторая более сложная: сначала с помощью регулярного выражения она бьет адрес на 2 составляющие (в переменную $1 записывается часть адреса до слеша «/», а в переменную $2 заносится номер, стоящий до .html), после чего преобразует URL в нужный нам вид. Просто внимательно посмотри на нее — и все станет ясно.

Единственная сложность заключается в том, чтобы постоянно отслеживать URL. Если об этом не позаботиться, то настоящий URL обязательно засветится во время перехода, осуществляемого самим скриптом. Сложность, впрочем, легко разрешима — нужно лишь написать простую функцию для преобразования URL и использовать ее для любой навигации по сайту.

Вообще, интересная штука этот Mod Rewrite. Можно молниеносно огородить себя от скрипткидиссов и любителей искать уязвимые сценарии через Google. Едва ли кому-то придет в голову заморачиваться со статическим URL и тем более пытаться завалить сайт с помощью дежурных подстановок — ‘1, ../../../, |id| и т.д. Но даже если кто-то и решится, то ничего у него не выйдет.

Q: Нужно срочно отправить факс в США, а факсимильного аппарата под рукой нет. Это можно сделать через инет?

A: Тебе поможет онлайн-сервис www.efax.com. Отправка и прием факсов осуществляется с помощью специальной программы. Всего на сайте доступно три ее вариации: начиная от самой простой, которая умеет только принимать сообщения, но зато бесплатно, и заканчивая профессиональной версией, предоставляющий удобный интерфейс для составления факса и отправки его в любой уголок планеты. Жаль только, что платить за такой сервис придется ежемесячно.

Q: Как отследить вызовы ядра в операционной системе на базе Windows? Хочу таким образом изучить работу одного интересного приложения.

Содержание  Вперед на стр. 091-138-2
ttfb: 2.8049945831299 ms