Обезопатсьте свой форум (дыра разработчиков)

Автор redwert, 29 декабря 2009, 15:02:23

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

redwert

По умолчанию в форуме есть настройка которая после установки модов создает в public_html резервные копии измененных файлов. Например если изменения делаются в файле index.php, то создается файл index.php~   вот его и можно скачать без всяких проблем стороннему пользователю.
Мне встречался мод который делал изменения в файле settings.php - так в этом случае все пароли к базам и ftp будут открыты стороннем пользователям.

Опция дописки символа ~ устанавливается в админке форума (по моему в настройках установки модов)

Mavn

через htaccess запрети скачивать подобные файлы да и все
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

redwert


Fenix

Цитата: redwert от 29 декабря 2009, 15:11:17
а что туда дописать надо в httacces

У нас так:


<Files ~ "\.(php~)$"> 
order allow,deny 
deny from all 
</Files>

digger®

Цитата: redwert от 29 декабря 2009, 15:02:23
По умолчанию в форуме есть настройка которая после установки модов создает в public_html резервные копии измененных файлов. Например если изменения делаются в файле index.php, то создается файл index.php~   вот его и можно скачать без всяких проблем стороннему пользователю.
Мне встречался мод который делал изменения в файле settings.php - так в этом случае все пароли к базам и ftp будут открыты стороннем пользователям.

Опция дописки символа ~ устанавливается в админке форума (по моему в настройках установки модов)

А дыра в чем? Сторонний пользователь всегда может просто взять и посмотреть эти файлы в дистрибутиве. Если паранойя, то создание таких резервных копий отключается в настройках форума.
settings.php~ никогда не создается.

BIOHAZARD

обсуждалось ещё на примере 1.1.9 кажется - тогда вообще заявили, что это суперпупер уязвимость
но что-то мы всем местным форумом так и не смогли придумать ситуацию, при которой появляется settings.php~
вместо него появляется settings_bak.php, а его уже не просмотришь
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ