В различных багтреках то и дело проскальзывают сообщения об уязвимостях в различных форумах, движках и других подобных скриптах, реализованных с помощью PHP. Мы научимся использовать уязвимость, которая получила название - "PHP source injection". Многие не обращают на нее внимание, или просто по неопытности отбрасывают в сторону. Я хочу показать, что можно сделать, или как можно заюзать данную уязвимость.
ActiveX объекты представляют собой небольшие исполняемые модули, которые могут быть внедрены в документы. Такими докемнтами могут являтся, например, документы Word или Excel. В качестве документов-контейнеров могут быть также и web-страницы, написанные на HTML. При отображении такой страницы, браузер предоставляет внедренному модулю ActiveX прямоугольную область на странице. В этой области модуль может себя прорисовывать, взаимодействовать с пользователем, принимать и выводить даные и т.д. Помимо визуальных activex объектов, существуют и невизуальные. Они служат главным образом для доступа к определенным програмным ресурсам машины или к данным пользователя и операционной системы. Такие объекты можно сделать невидимыми на странице и обращатся к ним при помощи скриптов страницы (таких как JavaScript, например).