- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Не сообразили? Не ставьте чужой закриптованный софт, без крайней необходимости.
Ну, все послушались :)
Особенно "крайняя необходимость", да большинство вообще в этом не понимают. И если даже он будет не закриптован, то опять же большинство не врубиться в шелл даже в открытом виде.
Во многих скриптах и цмсках закриптованы куски. Лучше бы слить такого умника, или пригрозить. Может уберет это.
Не ставьте чужой закриптованный софт, без крайней необходимости.
Пользователи Windows обречены. Как и любой другой системы с софтом из бинарников…
Ну а если вспомнить, как нашли бэкдор в портах FreeBSD (ProFTPd)…
Не покупайте продукты в супермаркетах!
Лучше бы слить такого умника, или пригрозить. Может уберет это.
Написал и пригласил в дискуссию. Если убедительного пояснения не будет, назову софтину и автора.
Он размещен в библиотеке функций, которая инклудится при каждом обращении к админке
До или после авторизации?
А вообще код какой-то, ну, не для уровня платного продукта. Прослэшенный хтмл прямо в коде, stripslashes у $_POST['mega-exe'] - ошибка новичка по сути, непрослэшивание перед eval-ом кода, file_exists вместо is_uploaded_file и отсутствие проверки ошибок при этом. В общем тут как-то больше похоже на бритву хэнлона, чем на зож.
Не сообразили? Не ставьте чужой закриптованный софт, без крайней необходимости.
Это самоуспокоение.
В достаточно объемном функциональном продукте хорошему прогеру несложно вкрячить пару закладок (не такую банальную очевидность), которые даже фиг найдешь даже в документированном коде (а не просто открытом)... а если и найдешь (проанализировав весь код? вот занятие-то удобное), то скорее за банальную уязвимость примешь и уж точно злой умысел не припишешь.
До или после авторизации?
Независимо от.
В достаточно объемном функциональном продукте хорошему прогеру несложно вкрячить пару закладок (не такую банальную очевидность), которые даже фиг найдешь даже в документированном коде (а не просто открытом)... а если и найдешь (проанализировав весь код? вот занятие-то удобное), то скорее за банальную уязвимость примешь и уж точно злой умысел не припишешь.
Согласен полностью. Поэтому я и назвал этот код "тупым и наглым". Боюсь, что автор, после этого разоблачения станет не честнее, а хитрее.
С другой стороны, открытый код просматривает много народа и вероятность того, что закладки выловят намного выше.
Согласен полностью. Поэтому я и назвал этот код "тупым и наглым". Боюсь, что автор, после этого разоблачения станет не честнее, а хитрее.
А мы все узнаем что это за "продукт", а то может он и у меня стоит. Много что покупаю, но в коде так сильно не разбираюсь.
Беседа была такой (текст от автора софтинки - курсивом):
Здравствуйте. Обратите пожалуйста внимание на это обсуждение:
Если сочтете нужным - присоединяйтесь. Это о вас.
Ответ: Видимо провокация какая-то. Бэкдора в дистрибутиве быть не может. В ранних версиях была картинка - "пасхальное яйцо" в base64, некоторые антивирусные утилиты на неё ругались и я её убрал. Но бэкдоров точно нет. Если у Вас есть аккаунт в этом форуме, отпишитесь от моего имени, сообщите мне имя файла или какую-нибудь информацию, как его найти.
Несколько позже: Прочитал до конца, я понял о чём идёт речь. На днях выложу обновление, этого кода в скрипте больше не будет.
Код из файла "includes/optimizer/admin/funct.php".
А те, кто уже установил, останутся дырявыми?
Ответ: Да, останутся. Автоматически скрипт не обновится.
Ссылка на софтинку.
Переложит в другой файлик :)
Беседа была такой (текст от автора софтинки - курсивом):
Автору скрипта в оправдание было сказать не чего.
Хорошо хоть, потом признал, что бэкдор был.