Уязвимость сайта после вставки кода sape - Страница 3

Shema · 19.04.2010, 13:08

Ладно, я понял, что всем пофиг.
Я свои проблемы и проблемы клиента решил, мне в принципе тоже дальше пофиг.

Не смотря на замечание с putenv (случай имеет право на существование, хотя кажется менее реалистичным), я считаю, что getenv безопаснее, чем суперглобал массивы.

Зачем помогать идиотам? На этот вопрос можно смотреть по-разному. Зачем в машине ABS? (впрочем дальше флейм поддерживать не буду)

dgek1111 · 19.04.2010, 17:32

Цитата:

Сообщение от Shema

Ладно, я понял, что всем пофиг.
Я свои проблемы и проблемы клиента решил, мне в принципе тоже дальше пофиг.

Вы не решили никаких проблемм. Абсолютно. Вы просто вставили затычку в конкретную дырку которую Вы обнаружили и которая не дырка вовсе.
Проблема то осталась.
По прежнему любой желающий может через GET запрос прописывать переменные окружения вашего сайта так как ему захочется. А значит по прежнему можно ломать ваш сайт.

Хостинг кстати, скорее всего не виноват. Это в движке так намудрили.

therapy · 20.04.2010, 12:25

приходит на почту - мол, превысил трафик и всё такое.. на 3 гига..
полез на хостинг - нашёл в папке сапы следующие файлы:
links.db - 440 КБ
logs.php - 5,5 КБ
perl5.8.9.core - 3,02 ГБ
sape.php - 24,6 КБ
scanv511.txt - 53,7 КБ
words.db - 1,24 КБ

движок джумла 1.0
интересно, каким образом...

a112 · 20.04.2010, 13:09

А в файлах этих что?

therapy · 20.04.2010, 13:31

hack hack hack и код..
перл не открывал ))

i58 · 20.04.2010, 13:56

Цитата:

Сообщение от dgek1111

Вы не решили никаких проблемм. Абсолютно. Вы просто вставили затычку в конкретную дырку которую Вы обнаружили и которая не дырка вовсе.
Проблема то осталась.
По прежнему любой желающий может через GET запрос прописывать переменные окружения вашего сайта так как ему захочется. А значит по прежнему можно ломать ваш сайт.

Хостинг кстати, скорее всего не виноват. Это в движке так намудрили.

Между прочим, ТС и не претендует ни на что кроме как на закрытие одной конкретной дырки которую он обнаружил в своих конкретных условиях. Вся ветка досужие домыслы и повод показать своё знание пхп

Может у него вообще сайт на хтмл, а пхп только для подключения сапы, и он на самом деле решил все свои проблемы.

dgek1111 · 20.04.2010, 16:33

i58, То что закрыл ТС это не дырка вовсе.
Подход в решении проблемы в корне не верный.
Если есть такая лажа то нужно выяснять откуда у нее ноги растут.

conturov · 21.04.2010, 12:44

Возможно поможет:
php_flag allow_url_include off

Запретить использовать URL в инклудах.

20.04.2010, 12:25	#23
therapy Специалист Регистрация: 04.10.2007 Адрес: west Сообщений: 277 Вес репутации: 210	приходит на почту - мол, превысил трафик и всё такое.. на 3 гига.. полез на хостинг - нашёл в папке сапы следующие файлы: links.db - 440 КБ logs.php - 5,5 КБ perl5.8.9.core - 3,02 ГБ sape.php - 24,6 КБ scanv511.txt - 53,7 КБ words.db - 1,24 КБ движок джумла 1.0 интересно, каким образом... __________________ homogeneous catalysis////

20.04.2010, 13:09	#24
a112 Эксперт Регистрация: 17.11.2009 Адрес: Донбасс Сообщений: 1,481 Вес репутации: 234	А в файлах этих что? __________________ Копирайтеры-рабы работают за еду и выполнят любые ваши желания

20.04.2010, 13:31	#25
therapy Специалист Регистрация: 04.10.2007 Адрес: west Сообщений: 277 Вес репутации: 210	hack hack hack и код.. перл не открывал )) __________________ homogeneous catalysis////

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Нужен php-скрипт для вставки текста	SergejF	Разработка и сопровождение сайтов	8	15.04.2010 23:09
Взлом сайта с установкой кода sape	Paffy	Вопросы по работе системы	4	31.01.2009 17:12
Проблема с индексацией страниц после обновления кода sape для контекстных ссылок	serp	Ошибки при работе с системой	0	06.03.2008 14:29
После установки кода sape сайты выпали из yandexa	mgpetrov	Яндекс	9	27.06.2007 16:44
полная замена движка сайта: порядок переноса кода SAPE?	saddat	Вопросы по работе системы	23	30.04.2007 10:23

19.04.2010, 13:08	#21
Shema Новичок Регистрация: 14.10.2007 Адрес: Москва Сообщений: 10 Вес репутации: 0	Ладно, я понял, что всем пофиг. Я свои проблемы и проблемы клиента решил, мне в принципе тоже дальше пофиг. Не смотря на замечание с putenv (случай имеет право на существование, хотя кажется менее реалистичным), я считаю, что getenv безопаснее, чем суперглобал массивы. Зачем помогать идиотам? На этот вопрос можно смотреть по-разному. Зачем в машине ABS? (впрочем дальше флейм поддерживать не буду)

20.04.2010, 16:33	#27
dgek1111 Мастер Регистрация: 10.10.2008 Адрес: Одесса Мама Сообщений: 947 Вес репутации: 244	i58, То что закрыл ТС это не дырка вовсе. Подход в решении проблемы в корне не верный. Если есть такая лажа то нужно выяснять откуда у нее ноги растут.

21.04.2010, 12:44	#28
conturov Специалист Регистрация: 04.04.2008 Сообщений: 185 Вес репутации: 199	Возможно поможет: php_flag allow_url_include off Запретить использовать URL в инклудах.