- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Забыл предупредить! Все скрипты csp.php из этой темы содержат огромную уязвимость - злоумышленник может легко создавать и исполнять файлы .php на вашем хосте. 🙅
P.S. Если вы профан в программировании, лучше обратитесь к профессионалу.
Забыл предупредить! Все скрипты csp.php из этой темы содержат огромную уязвимость - злоумышленник может легко создавать и исполнять файлы .php на вашем хосте.
Чо, безработица и до "профессионалов" докатилась? Такую фигню писать такими красными буквами.
Чо, безработица и до "профессионалов" докатилась? Такую фигню писать такими красными буквами.
В чём же фигня? В этой теме публиковали скрипты csp.php. В них есть серьёзная уязвимость и я об этом предупредил пользователей. На мой взгляд это довольно важно и я выделил красным.
Да, Ladycharm, весь ваш сайт можно удалить, если вы загрузите себе один из примеров csp.php из этой темы.
с адсенсом (точнее у меня adx, но думаю в адсенсе так-же) есть такая проблема:
в отчетах CSP вижу adtarget.me - думаю вирусня какая-то, не обращаю внимание
а как-то раз смотрю блок адсенса пустой загрузился - глянул что там, а там именно с этого сайта adtarget.me подгружается скрипт и соответственно из-за CSP не показывается
При чем подгружается гуглем в фрейме без src. То есть на него действуют правила CSP.
Как я понял, это сеть ретаргетинга, работающая через adwords или adexchange. И сколько их ещё так режется не понятно. То есть доходы с адсенса действительно могут проседать от CSP.
Есть где-нибудь официальные рекомендации от Адсенса по поводу CSP?
с адсенсом (точнее у меня adx, но думаю в адсенсе так-же) есть такая проблема:
в отчетах CSP вижу adtarget.me - думаю вирусня какая-то, не обращаю внимание
а как-то раз смотрю блок адсенса пустой загрузился - глянул что там, а там именно с этого сайта adtarget.me подгружается скрипт и соответственно из-за CSP не показывается
При чем подгружается гуглем в фрейме без src. То есть на него действуют правила CSP.
И так со многими другими сетями. Я панику в своем время поднимал именно из-за пустых блоков. Однако здесь видимо дело в другом.
---------- Добавлено 20.02.2015 в 17:12 ----------
В чём же фигня? В этой теме публиковали скрипты csp.php. В них есть серьёзная уязвимость и я об этом предупредил пользователей. На мой взгляд это довольно важно и я выделил красным.
Да, Ladycharm, весь ваш сайт можно удалить, если вы загрузите себе один из примеров csp.php из этой темы.
Это из-за того, что кто-то выставил права 777 на папку? Разумеется, это делать не надо. Или еще что-то есть?
Как я понял, это сеть ретаргетинга, работающая через adwords или adexchange. И сколько их ещё так режется не понятно. То есть доходы с адсенса действительно могут проседать от CSP.
Так вы показы сравните, я писал уже, что число показов, как и доход, не изменилось, только пропали переходы на левые сайты. По большому счету, в этом и есть смысл установки CSP - чтоб на ваших сайтах треш не откручивали.
А на клики по адсенс оно и вовсе может не влиять...
Это из-за того, что кто-то выставил права 777 на папку? Разумеется, это делать не надо. Или еще что-то есть?
Файлы логов создаются с именем домена заблокированного ресурса.
Таким образом можно создать файл ./scp/20.02.2015/injection.php с любым содержимым.
И конечно же можно сразу напрямую фигачить эксплойт в csp.php и не заморачиваться со <script> и т.п.
Saacy, а если сменить имя папки и не ставить на нее 777?
не ставить на нее 777
Ммм... Их и не надо ставить 777.
сменить имя папки
Конечно, пока название папки не узнают - сайт в безопасности. Но стоит столкнуться с блокировочкой и ваш путь возможно будет раскрыт (зависит от настроек вывода ошибок сервером).
Можно изменить название папки на "#csp", можно закрыть доступ в папку через серверные правила (в htaccess или аналоге):
А лучше не доверять входящим данным, всегда фильтровать их и не сохранять файлы с именами из input`а. ☝
Таким образом можно создать файл ./scp/20.02.2015/injection.php с любым содержимым.
Угу.
Ничего, что данные обрабатываются по stripslashes(json_encode($data)); перед записью в файл и перед парсингом из них имени файла?
А после $data_z = str_replace("{","",$data_z); что останется у вас от присланного php-скрипта?
И, самостоятельная установка этого скрипта подразумевает минимальные знания php и настройку "под себя". Вы даже не узнаете, в какую директорию пишет файлы этот скрипт.
Она может иметь соответствующие права и быть недоступна снаружи через http.
Так, что, слухи от том, что Все скрипты csp.php из этой темы содержат огромную уязвимость - дешёвый самопиар в поисках работы.