Uwaga na błędy w PHP!

Kolejne robaki wykorzystujące luki w PHP
W sieci ukazały się kolejne robaki wykorzystujące luki w PHP. Zakres ich ataków uległ rozszerzeniu - atakowane są strony PHP, w ktorych kodzie popełnione zostały proste błędy, a nie tylko fora oparte o dziurawe phpBB, jak w przypadku Santy.A.

Błędy nie są związane z konkretną implementacją czy wersją PHP, ale ze sposobem napisania samych skryptów. Konkretnie wykorzystywany jest błąd związany z dołączaniem plików poprzez funkcję include() z użyciem zmiennej, bez sprawdzania jej wartości. Jeżeli zmienna konfiguracyjna PHP register_globals jest ustawiona na "on", robak może odgadnąć nazwę zmiennej, poprzez którą wskazywany jest plik do dołączania. W takiej sytuacji robak jest w stanie wykonać kod na serwerze na którym zainstalowany jest PHP, z przywilejami użytkownika uruchamiającego PHP.

Aby uchronić się przed działaniem podobnych robaków (i ataków na PHP w ogóle), warto zapoznać się z często popełnianymi błędami PHP. Powyższy błąd, a także inne, opisane są na stronie http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/.Strona zawiera także wskazówki, jak podobnych błędów można uniknąć.

by cert.pl

Warto także wspomnieć, że przydało by się zaktualizować wasze fora phpBB do wersji 2.0.11 lub chociaż zastosować odpowiednią poprawkę.
http://www.cert.pl/index2.html?action=show_news_more&nid=636

Liczba odpowiedzi na stronę

Uwaga na błędy w PHP!

1 użytkowników online, w tym zalogowanych: 0, gości: 1

Praca dla programistów

Forum dyskusyjne

Sprawy administracyjne

O nas

Skontaktuj się z nami