loading...

Авторизация ...

Имя пользователя :
Пароль :
я всё забыл!

Баг-фиксыПредотвращение заливки шелла v2 (php версия)

Написал pro10026, 26 октября 2010 | 5 комментариев | рейтинг новости не нравится   -3   нравится Версия для печати
Предложенный вариант мне показался глупым, так как шелл могут залить не только в папку /uploads/ и /templates/.
Поэтому юзаем следующий код:
открыть engine/inc/files.php
Найти:
$allowed_files = explode( ',', strtolower( $config['files_type'] ) );

Заменить на:
$allowed_files = explode( ',', str_replace(array("php","phtml", "htaccess", "cgi", "pl", "fcgi", "fpl", "phtml", "shtml", "php2", "php3", "php4", "php5", "asp"), md5(time() - rand(30,60)), strtolower(  $config['files_type'] )));


Примечание модератора: данный хак можно считать дополнением к предыдущему. Т.к. этот запрещает заливку скрипта, а та публикация предотвращает выполнение скрипта.


Отблагодарили: sadead, WhiteD, DarkNill, h00p7, GidrogeN, Jony, Tr1m

Комментарии пользователей

  Экспорт комментариев в RSS
 Сортировать по рейтингу, по дате

Написал fatalenergy, 26 октября 2010 в 18:51 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 22, Пользователи
Карма:
А этот не глупый?

Написал AVET, 26 октября 2010 в 20:27 плохой комментарий   0   хороший комментарий
Новостей: 17, комментариев: 535, Редактор
Карма: 12±
Он не глупый, он вполне логичный. Теоретически злоумышленник может получить доступ в АЦ и попытаться разрешить загрузку РНР и прочих файлов на сервер.

Этот фикс не позволит ему этого сделать.

Написал pro10026, 26 октября 2010 в 20:22 плохой комментарий   0   хороший комментарий
Новостей: 1, комментариев: 6, Пользователи
Карма: -1±
fatalenergy,
Это уже Вам решать! Я выразил свою точку зрения...

Написал Брупт, 26 октября 2010 в 20:34 плохой комментарий   +3   хороший комментарий
Новостей: 4, комментариев: 103, Пользователи
Карма: 10±
1. Это нужно быть очень глупым, чтобы разрешить загрузку исполняемых файлов на сервер в админ панели.

2. Этот хак вообще на безопасность почти не влияет, только сделает имена файлов содержащие данные символы больше 32+++ символов, тем самым увеличит нагрузку на сервер )

3. Шелл как правило заливают через другие скрипты и модули )

Написал skorpion341, 3 ноября 2010 в 20:20 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 6, Пользователи
Карма:
Тоесть реально защитится не возможно?

Информация



Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
Анализ Тиц и PR сайта

[removed][removed] [removed] (adsbygoogle = window.adsbygoogle || []).push({}); [removed]