Комментарии 25
Ну если хватило ума залезть в php.ini, то должно хватить ума не делать include_once($_SERVER['DOCUMENT_ROOT'].«file.php»).
вы понимаете, я не раз сталкивался с другим случаем: есть старые скрипты, неизвестно когда и кем написанные, которые проще оставить с регистр глобалс чем везде все менять, и есть новые скрипты, которые уже с правильными конфигами и правильным подключением. И как всегда стыковка старого и нового пораждает кучу уязвимостей.
Заметка написана чтобы пропалить тему действующего сейчас ботнета и немного усложнить им автоматическую жизнь :)
Заметка написана чтобы пропалить тему действующего сейчас ботнета и немного усложнить им автоматическую жизнь :)
Да вроде бы директива register_globals уже отжила себя.
Хотя, я думаю, до сих пор найдутся товарищи, которые так программируют.
Хотя, я думаю, до сих пор найдутся товарищи, которые так программируют.
Часто вижу, что к серверным переменным доверие практически абсолютное. А зря
не только register_globals, а еще и allow_url_include — кому вообще взбредет в голову/понадобится включать последнее?
Можно написать бота который будет гулять по нету и искать сайты возвращающие ошибку при обращении с таким заголовком…
А смысл?
Помнится давно встречал встречал примеры запросов в гугле, да и самому можно их написать, которые находят всякие там *.inc, *.conf файлы на сайтах с криво настроенным апачем. Единственное позитивное в этом, если вы понимаете, что так не надо делать, то значит вы лучше чем 80 процентов php — кодеров (= А значит работу вы всегда найдете.
Помнится давно встречал встречал примеры запросов в гугле, да и самому можно их написать, которые находят всякие там *.inc, *.conf файлы на сайтах с криво настроенным апачем. Единственное позитивное в этом, если вы понимаете, что так не надо делать, то значит вы лучше чем 80 процентов php — кодеров (= А значит работу вы всегда найдете.
В PHP 6 их глобальные регистры запиля. Слава тебе яйца!
а еще есть sql инекции, тайваньский(или китайский не помню) символ пробивающий стрипслешес, подбор md5 хеша(если не солить), анализ ошибок выводимых пользователю и много чего еще.
учить матчасть, думать головой(быть параноиком) и если пользуешь чужие скрипты, знать что там все чисто или переписывать нах… ибо потом может оказаться дороже.
а боты которые реагируюит на самые простые лажи, это уже давно боян
учить матчасть, думать головой(быть параноиком) и если пользуешь чужие скрипты, знать что там все чисто или переписывать нах… ибо потом может оказаться дороже.
а боты которые реагируюит на самые простые лажи, это уже давно боян
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
взлом с помощью register_globals