| Цитата |
|---|
| vvv476 написал: Почему так - сказано в статье |
|
Разработчикам |
Форум
Взломаны сайты в честь дня конституции украины
|
|
|
|
|
|
|
|||
|
|
|
|
Антон Костин,
disable_functions = shell_exec,exec,passthru,system,proc_open,curl_multi_exec,parse_ini_file,show_source exec: catalog\export catalog\import system: sale\location\import proc_open: scale show_source: fileman очень много используется: eval curl_exec Есть мысли как избавиться от использования eval в коде Bitrix что бы eval тоже можно заблокировать? |
|||
|
|
|
|
vvv476,
Самое очевидные php://input php://output php://temp |
|||
|
|
|
|
Солюшнс АВИ,
|
|||
|
|
|
|
А вообще права на папки и файлы не должны позволять изменять и создавать папки и файлы пользователю под которым веб-сервер запущен т.е. этому пользователю нужны права только чтение. В корне сайта есть папка /upload/ только в этой папке можно этому пользователю файлы создавать, но не запускать.
|
|
|
|
|
/bitrix/ можно только на чтение поставить, кроме этих директорий /bitrix/backup/ /bitrix/cache/ /bitrix/managed_cache/ /bitrix/stack_cache/ /bitrix/tmp/ - этот не знаю ну и естественно при обновлениях движка права нужно будет вернуть |
|||
|
|
|
Я вам на главную могу кинуть POST любого содержания и вернётся 200 но ничего не произойдёт. Чтобы удостовериться "поймайте" тело этого запроса ($_POST и $_GET) выше я писал как это можно сделать и в личку мне скиньте. На моих сайтах и сайтах клиентов никакая зараза не пробивается, так что сильно сомневаюсь в пробивных свойствах этого эксплойта. |
|||||
|
|
|
|
|||||||
|
|
|
||||||
