Упрощение установки расширений

Автоматическая вставка кода плагина в шаблоны.

Tags: Autoinsert
Autoload

Trustmaster	#35879 20. Oktober 2012, 21:04
Administrators Thanked: 265 mal	Историческая справка: множество дефейсов сайтов на Seditio было связано с использованием плагина TPL Editor. Данный плагин редактирует шаблоны онлайн, если PHP имеет право на запись оных. Обычно люди не заморачивались, и ставили CHMOD 777 на всё. Но если PHP является владельцем файлов, то эффект примерно тот же и без CHMOD 777. Техника взлома следующая: а) находится дырявый скрипт на сайте, позволяющий выполнять тем или иным образом произвольный пхп-код или записывать файлы; перезаписываются легкодоступные файлы шаблонов или php; б) заводится аккаунт на том же shared-хостинге, использующем глобальный пхп для всех аккаунтов, пишется скрипт, который делает что душе угодно с незащищёнными файлами соседа; в) посредством эксплоита получается непривелегированный доступ к системе, перезаписываются легкодоступные файлы. May the Source be with you!

Trustmaster

#35879 20. Oktober 2012, 21:04

Историческая справка: множество дефейсов сайтов на Seditio было связано с использованием плагина TPL Editor. Данный плагин редактирует шаблоны онлайн, если PHP имеет право на запись оных. Обычно люди не заморачивались, и ставили CHMOD 777 на всё. Но если PHP является владельцем файлов, то эффект примерно тот же и без CHMOD 777. Техника взлома следующая: а) находится дырявый скрипт на сайте, позволяющий выполнять тем или иным образом произвольный пхп-код или записывать файлы; перезаписываются легкодоступные файлы шаблонов или php; б) заводится аккаунт на том же shared-хостинге, использующем глобальный пхп для всех аккаунтов, пишется скрипт, который делает что душе угодно с незащищёнными файлами соседа; в) посредством эксплоита получается непривелегированный доступ к системе, перезаписываются легкодоступные файлы.

May the Source be with you!