Некоторое время тому назад, я обнаружил на одном хостинге, на котором распологается мой блог, критическую уязвимость.
Данная уязвимость позволяет просмотреть исходный код PHP скрипта, через строку браузера, введя параметр:
мой_сайт/index.php?-s или просто мой_сайт/?-s
Ну и соответственно данные для подключения к БД MySQL.
С параметром:
мой_сайт/index.php?-d
Дела обстоят намного критичнее. Через данный параметр возможен удаленный инклуд скрипта в каталог, где распологается сайт. Таким образом я удалил три шелл со своего сайта, а когда выяснил в чем делоо поставил заплатку в .htaccess. Зама заплатка описывается в статье.
Данная уязвимость позволяет просмотреть исходный код PHP скрипта, через строку браузера, введя параметр:
мой_сайт/index.php?-s или просто мой_сайт/?-s
Ну и соответственно данные для подключения к БД MySQL.
С параметром:
мой_сайт/index.php?-d
Дела обстоят намного критичнее. Через данный параметр возможен удаленный инклуд скрипта в каталог, где распологается сайт. Таким образом я удалил три шелл со своего сайта, а когда выяснил в чем делоо поставил заплатку в .htaccess. Зама заплатка описывается в статье.
