He encontrado un fragmento de este código en una aplicación web (simplificado):
<?php $password="very-secret-password"; $param = $_GET["param"]; ?>
<html> ...
Param: <?php echo $param; ?>
... </html>
Sé que esto es como una llamada a XSS, pero me gustaría saber si el atacante puede ejecutar su propio código PHP aquí. Con esto, me refiero a algo como mostrar la contraseña - page.php?param=; ?><?php echo $password; ?>
, pero específicamente esto no funcionó.
Las hojas de trucos de Google y OWASP no proporcionaron información sobre este problema específico.
Entonces, ¿el atacante puede ejecutar su propio código PHP aquí o no es posible? Si es así, ¿cómo? (PHP v5.6)