Форум SAPE.RU

Форум SAPE.RU (http://forum.sape.ru/index.php)
-   Ошибки при работе с системой (http://forum.sape.ru/forumdisplay.php?f=14)
-   -   Уязвимость сайта после вставки кода sape (http://forum.sape.ru/showthread.php?t=50949)

Shema 19.04.2010 13:08

Ладно, я понял, что всем пофиг.
Я свои проблемы и проблемы клиента решил, мне в принципе тоже дальше пофиг.

Не смотря на замечание с putenv (случай имеет право на существование, хотя кажется менее реалистичным), я считаю, что getenv безопаснее, чем суперглобал массивы.

Зачем помогать идиотам? На этот вопрос можно смотреть по-разному. Зачем в машине ABS? (впрочем дальше флейм поддерживать не буду)

dgek1111 19.04.2010 17:32

Цитата:

Сообщение от Shema (Сообщение 790321)
Ладно, я понял, что всем пофиг.
Я свои проблемы и проблемы клиента решил, мне в принципе тоже дальше пофиг.

Вы не решили никаких проблемм. Абсолютно. Вы просто вставили затычку в конкретную дырку которую Вы обнаружили и которая не дырка вовсе.
Проблема то осталась.
По прежнему любой желающий может через GET запрос прописывать переменные окружения вашего сайта так как ему захочется. А значит по прежнему можно ломать ваш сайт.

Хостинг кстати, скорее всего не виноват. Это в движке так намудрили.

therapy 20.04.2010 12:25

приходит на почту - мол, превысил трафик и всё такое.. на 3 гига..
полез на хостинг - нашёл в папке сапы следующие файлы:
links.db - 440 КБ
logs.php - 5,5 КБ
perl5.8.9.core - 3,02 ГБ
sape.php - 24,6 КБ
scanv511.txt - 53,7 КБ
words.db - 1,24 КБ

движок джумла 1.0
интересно, каким образом...

a112 20.04.2010 13:09

А в файлах этих что?

therapy 20.04.2010 13:31

hack hack hack и код..
перл не открывал ))

i58 20.04.2010 13:56

Цитата:

Сообщение от dgek1111 (Сообщение 790576)
Вы не решили никаких проблемм. Абсолютно. Вы просто вставили затычку в конкретную дырку которую Вы обнаружили и которая не дырка вовсе.
Проблема то осталась.
По прежнему любой желающий может через GET запрос прописывать переменные окружения вашего сайта так как ему захочется. А значит по прежнему можно ломать ваш сайт.

Хостинг кстати, скорее всего не виноват. Это в движке так намудрили.

Между прочим, ТС и не претендует ни на что кроме как на закрытие одной конкретной дырки которую он обнаружил в своих конкретных условиях. Вся ветка досужие домыслы и повод показать своё знание пхп :)
Может у него вообще сайт на хтмл, а пхп только для подключения сапы, и он на самом деле решил все свои проблемы.

dgek1111 20.04.2010 16:33

i58, То что закрыл ТС это не дырка вовсе.
Подход в решении проблемы в корне не верный.
Если есть такая лажа то нужно выяснять откуда у нее ноги растут.

conturov 21.04.2010 12:44

Возможно поможет:
php_flag allow_url_include off

Запретить использовать URL в инклудах.


Часовой пояс GMT +3, время: 22:23.

Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.