AshaS 2 Опубликовано: 6 ноября 2010 Рассказать Опубликовано: 6 ноября 2010 Скажите, нашёл какойто сканер для дле, типо что определяет возможные уязвимости, забил туда домен сайта: получил: Результат: Путь:| /...././.../public_html/ | Уязвимость средняя ) , при хороших обстоятельствах можно залить шелл Исравить уязвимость Если прислушаться совету и нажать на исправить уязвимость, то такой совет выподает: Тут напишу как закрыть багу... И так поехали... Открываем файл:/engine/init.php Ищем такой код , он находиться на 223 строчке ))) } elseif (isset ( $_COOKIE['dle_skin'] ) and $_COOKIE['dle_skin'] != '') { if (@is_dir ( ROOT_DIR . '/templates/' . $_COOKIE['dle_skin'] )) { $config['skin'] = $_COOKIE['dle_skin']; } } Меняем на этот } elseif (isset ( $_COOKIE['dle_skin'] ) ) { $_COOKIE['dle_skin'] = trim( totranslit($_COOKIE['dle_skin'], false, false) ); if ($_COOKIE['dle_skin'] != '' AND @is_dir ( ROOT_DIR . '/templates/' . $_COOKIE['dle_skin'] )) { $config['skin'] = $_COOKIE['dle_skin']; } } Вот и всё =) | Вернуться на сайт Вот я думаю может это специально хотят баг вогнать в движок, или действительно дельный совет дают? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 082 Опубликовано: 6 ноября 2010 Рассказать Опубликовано: 6 ноября 2010 AshaS, Это было исправлено еще 9 месяцев назад. А вообще это даже не относится к каким то средним уязвимостям, это ошибка при которой можно вызвать раскрытие путей, степень ее опасности не то что минимальная, а вообще нулевая, и говорить о какой то заливке шела даже близко не приходится. Для этого нужно находится на сервере где ваши соседи по серверу, которым вы не давали доступа, такой доступ все равно имеют. Найти такой сервер, где имеется подобная брешь в безопасности еще нужно умудрится. И это проблема в безопасности не скрипта, а именно сервера где находится сайт. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.