Заказывал ссылки gov+edu на два EN ресурса под США.
Сегодня получил отчёт от padonakk - всё как и было обещано. Спасибо.
О результатах напишу через месяцок.
За обнаружение мошенника This is SMM разместили пару постов с ссылками на мои проекты. Большое спасибо им за это.
Ссылочки нормальные - на тематических страницах, с нужными анкорами и около-ссылочным.
Мошенник: nomeps@yandex.ru
Сегодня столкнулся с этим мошенником. Общался со мной по скайпу Zak2009. Прикинулся добропорядочным пользователем форума и пытался продать мне размещение статей.
Я написал вам как "сделать эксплоит".
1. Берём скрипт.
2. Сохраняем в корень сайта.
3. Указываем в заголовках его как report-uri.
4. Меняем свой USER AGENT на "<?php echo 123; ?> (можно использовать плагин для браузера).
5. Добавляем на сайт <script src="http://injection.php/"></script>.
5а. Заходим на сайт 1 разок (если не добавляли динамически).
6. Открываем папку с логами и смотрим injection.php
🍿
Ladycharm, вы очень упёртая(ый). 🍿
Уверяю вас, что чистый PHP код вставить туда можно. Если вы так уверены в stripslashes и json_encode, не буду переубеждать. Просто обратите внимание на USER_AGENT. Он никак не фильтруется и пишется целиком.
Как быстро можно узнать директорию - зависит от настроек выплёвывания ошибок сервером. Еще можно бесконечно играть с относительными путями и писать файл куда я захочу.
И я не пытаюсь найти работу, а просто ищу полезные знакомства.
Ммм... Их и не надо ставить 777.
Конечно, пока название папки не узнают - сайт в безопасности. Но стоит столкнуться с блокировочкой и ваш путь возможно будет раскрыт (зависит от настроек вывода ошибок сервером).
Можно изменить название папки на "#csp", можно закрыть доступ в папку через серверные правила (в htaccess или аналоге):
Order deny,allow deny from all
А лучше не доверять входящим данным, всегда фильтровать их и не сохранять файлы с именами из input`а. ☝
Файлы логов создаются с именем домена заблокированного ресурса.
<script src="http://injection.php/?<?php ..... ?>"></script>
Таким образом можно создать файл ./scp/20.02.2015/injection.php с любым содержимым.
И конечно же можно сразу напрямую фигачить эксплойт в csp.php и не заморачиваться со <script> и т.п.
В чём же фигня? В этой теме публиковали скрипты csp.php. В них есть серьёзная уязвимость и я об этом предупредил пользователей. На мой взгляд это довольно важно и я выделил красным.
Да, Ladycharm, весь ваш сайт можно удалить, если вы загрузите себе один из примеров csp.php из этой темы.
Забыл предупредить! Все скрипты csp.php из этой темы содержат огромную уязвимость - злоумышленник может легко создавать и исполнять файлы .php на вашем хосте. 🙅
P.S. Если вы профан в программировании, лучше обратитесь к профессионалу.
Настроил CSP на 9 сайтах на разных языках: ru, en, fr, de, es, pt. Посещаемость от 1000 до 6000 уников в сутки.
Переходы на левые сайты LiveInternet больше не показывает, кроме "quick-searcher.net". Не знаете что это?
Один сайт был за CloudFlare и я столкнулся с проблемой длины заголовков (макс. 8кб). Пришлось забить на дублирование X-Content-Security-Policy, X-WebKit-CSP для него.
Вопрос с трафом интересен. 3-7кб заголовков это довольно много. Возможно придётся всё оптимизировать в default-src...
Еще, не смотря на разрешения, иногда в логах блокировки вижу syndication.twitter.com и pagead2.googlesyndication.com.
Завтра отпишусь по изменениям статистики. И, если не будет просадки по рекламе, поставлю на сайт с аудиторией 100к.
