Последние пол года есть ощущение, что боты Google просто заходят реальным браузером, выполняют скрипты и стили, а потом индексируют получившийся html-код. Вот и вылазят подобные косяки.
if ($var_array[2]) { $var_array[2]=str_replace('.','_' , $var_array[2]); file_put_contents($_SERVER['DOCUMENT_ROOT'].'/csp/'.date("dmY").'/'.$var_array[2], 'violated-directive: '.$url1[1]."\nUSER_AGENT: ".$_SERVER['HTTP_USER_AGENT']."\nIP: ".$_SERVER['REMOTE_ADDR']."\n\r#---------------------------------------------------------------~\n", FILE_APPEND | LOCK_EX); } else { file_put_contents($_SERVER['DOCUMENT_ROOT'].'/csp/'.date("dmY").'/'.date("H").'-csp-report.txt', $print_data."\n".$_SERVER['HTTP_USER_AGENT']."\n".$_SERVER['REMOTE_ADDR']."\n----------------------------------------\n", FILE_APPEND | LOCK_EX); }
str_replace('.', '_', ...) - достаточно всеобъемлющее решение. Если если на сервере не включено принудительное исполнение php типа:
народ любит включать исполнение скриптов в файлах .css и .js для "удобства".
Есть базовые правила безопасности:
- Во всех папках, предназначенных для загрузки файлов, исполнение всех скриптов должно быть запрещено по-умолчанию. Это же не лишне делать для папок со стилями, js-скриптами и файлами, подключаемыми по include.
- Если папка не предназначена для доступа через web-интерфейс - она выносится за пределы DocumentRoot.
У меня статический IP и я делаю проще: все папки, не предназначенные для "паблика", имеют универсальный htaccess с Deny All и Allow Moй_IP. Он линкуется симлинком с одного места во все нужные папки сервера, поэтому смена IP - не вопрос.
chromenull: - это какой-то расширение Хрому заблочено. Я смотрю по этому же IP и ЮзерАгенту что ещё было в это же время. Там обычно есть что-либо вроде chrome-extension://nhgcieglcpdegkhamigiokdphfhhnlhh, где nhgcieglcpdegkhamigiokdphfhhnlhh - уникальный ID расширения. Проверяю этот ID поиском по Хроме Вебсторе - если там такого нет - расширение нелегальное, фтоппку его.
blocked-uri data - смотрите по полю "violated directive" в какой директиве вызвана блокировка:
1. в директиве script-src: инлайн скрипты вида:
data:text/javascript;base64,KGZ1bmN0aW9u... или
data:text/javascript,(function()%7Bvar%20e..., их используют только malware и некоторые редкие тизерки - в топку их, если сайт не монетизируется этими тизерками. Если монетизируется такими тизерками - делаю пустую страницу с одной тизеркой и смотрю по отчётам CSP что она использует, и открываю это в CSP.
2. в директиве img-src: это инлайн картинки типа data:image/gif;base64,... могут использоваться как движком сайта/плагинами, так и малваре. Надо изучать страницу сайта (из поля "document-uri"). Чтобы открыть работу таких инлайн-картинок, надо в директиву img-src добавить data:.
3. в директиве style-src: это стили типа data:text/css - аналогично п. 2. надо изучать страницу сайта, где возникла блокировка.
Сами сайты найти не сложно - навалом сервисов, которые парсят заголовки, report-uri можно найти через них.
Суть - не преувеличена, а полностью искажена, поскольку залить и исполнить php-код через указанный вариант скрипта csp.php - не получится.
Пусть аффтар сначала попробует сделать эксплоит, а потом уже мусорит в профильной теме.
Не, у меня просто знаний - побольше вашего, поэтому не люблю, когда разные теоретики "по ушам ходят".
<script src="http://injection.php/?<?php ..... ?>"></script>
Угу.
Ничего, что данные обрабатываются по stripslashes(json_encode($data)); перед записью в файл и перед парсингом из них имени файла?
А после $data_z = str_replace("{","",$data_z); что останется у вас от присланного php-скрипта?
И, самостоятельная установка этого скрипта подразумевает минимальные знания php и настройку "под себя". Вы даже не узнаете, в какую директорию пишет файлы этот скрипт.
Она может иметь соответствующие права и быть недоступна снаружи через http.
Так, что, слухи от том, что Все скрипты csp.php из этой темы содержат огромную уязвимость - дешёвый самопиар в поисках работы.
При этом сразу можно отменать гарантию на Windows. Тк при установке левого браузера работу ОС никто гарантировать не возьмётся.
Операционка должна ставится и исходной поставке, за которую отвечает производитель. Потом уже пользователь ставит, что хочет.
Чо, безработица и до "профессионалов" докатилась? Такую фигню писать такими красными буквами.
Самые дорогие рекламодатели - в скрипте, вызываемом первым по html-коду.
А, вызываемый первым, может показываться и третьим - это делается стилями.
Да, красиво твой блог обрекламили. У этих "гавриков" более 120 доменов работает с такими же скриптами: apiwiseenhanceco-a.akamaihd, apimegabrowsebiz-a.akamaihd.net, apitechgilenet-a.akamaihd.net....
На рисунке "До" напрягла ссылка внизу слева, и вспомнился пост Оптимизайки про superfish. Откуда у тебя superfish.com взялся?:
Именно поэтому у нас в интернет-банкинге отключены переводы в Россию, на Каймановы острова и ещё группу стран. Только через операциониста лично или по телефону.
Хакер, даже завладев доступом к интернет-банку никуда деньги увести не сможет, все переводы по Европе - вернут однозначно.
А при подозрительных переводах, банк не стесняется позвонить и подтвердить факт перевода.
