Pull to refresh

Файлы сайта-открытки ВТБ в открытом доступе

Information Security *
Залез сегодня на сайт Лебедева, сайты посмотреть какие он делает. Зашел потом на 20.vtb.ru — сайт открытка которую они делали в рамках 20-ти летия ВТБ. И на удивление обнаружил что помимо того что Лебедев делает сайты на Битриксе, папки движка еще и не закрыты.

Обнаружились некоторые интересные моменты:
Про раскрытие пути в принципе можно и не говорить (при попытке исполнить отдельные php-файлы)
Fatal error: Call to undefined function IncludeModuleLangFile() in /u00/app/bitrix/Apache/htdocs/bitrix/modules/corp_events/include.php on line 4

20.vtb.ru/bitrix/templates/als_vtb20/data.txt — поздравления и проклятия от клиентов ВТБ родному банку — встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )
20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt — бекап php-файла за копирайтом Лебедева — если вдруг кому интересно как там код пишут
20.vtb.ru/bitrix/modules/lol.webdavadm — интересно кто это туда залил?
20.vtb.ru/bitrix/modules/security/admin/security_panel.php — незакрытый доступ в админку Битрикса.

В принципе понятно что при создании сайта в дизайн-студии в первую очередь обсуждаются вопросы между дизайнером и копирайтером, а технологу остается по сути черновая работа… Но что мешало в .htaccess добавить что-то типа нижеприведенного я не понимаю.
<FilesMatch "\.(inc|info|templates|modules|profile|po|sh|.*sql|theme|tpl(\.php)?|xtmpl|svn-base)$|^(code-style\.pl|Entries.*|Repository|Root|Tag|Template|all-wcprops|entries|format)$">
Order allow,deny
</FilesMatch>


P.S. Cтоит отметить, что основной сайт VTB делала другая контора. И хотя тоже на Битриксе, но без косяков с открытыми папками как сайте-открытке:
www.vtb.ru/bitrix/modules
Tags: артемий лебедевбитриксдыры
Hubs: Information Security
Total votes 152: ↑134 and ↓18 +116
Comments 117
Comments Comments 117