Про лишнее барахло на сайтах

На днях прислали совершенно замечательную заметку о тестовых файлах и дампах, оставленных на сайте после разработки.
Вроде, все знают, что так делать не надо — но масштабы разгильдяйства поражают.

Текст привожу как есть, с небольшими правками.


Я не буду говорит громких фраз типа «взлом сервера», т.к. цель моих аудитов как правило сводится к одному — найти способ получить доступ к конкретному сайту. Но даже тут, как правило работа начинается со сбора информации.

Допустим у вас сайт находится на каком-нибудь обычном хостинге. В корне сайта лежит phpinfo.php и что? Да то, что мы с легкостью можем узнать логин пользователя которому принадлежит данный сайт. А уж выяснить где он хостится дело пары минут. На самом деле обычное раскрытие путей позволит нам добиться этого же эффекта.

Решил узнать, как часто люди оставляют подобные файлы на продакшине в корне сайта. Далеко ходить не нужно, на хабре на эту тему было аж целых 3 статьи!
К сожалению (или к счастью), последная была размещена почти год назад.

Пробежавшись по комментам составил приличный список файлов в которые как правило запихивают вызов phpinfo(). После чего приступил к написанию простенького парсера, проверяющего на сайтах наличие этих самых файлов.

Когда парсер был уже готов пришла мысль расширить его функционал добавив проверку на наличие таких файлов, как dump.sql, dump.zip, site.tar.gz и т.п.
Итого, получился неплохой списочек. Затем этот список был немного расширен средствами парсера, т.к. были добавлены проверки вида %siteurl%.tar.gz, %siteurl%.sql и т.д. А ведь действительно, зачем искать всякие sql-injection и т.п., если можно скачать дамп сайта?

Ну все, хватит сопли разводить, перейдем к самому интересному — статистике. Всего было проверено 63 228 сайта. Обнаружено файлов из моего списка 12 041. Не хило правда?





Метрика Сайтов Файлов % от всех сайтов
Наличие потенциальных дампов351835625,56% Наличие потенциальных файлов конфигурации5405580.85% Наличие файлов с потенциальной информацией phpinfo297630084.71% Отладочная информация388149136.14%


А теперь статистика по популярности имен:













ФайлВхождений% от всех файлов
test.php11319,39% info.php6705,56% phpinfo.php5924,92% 1.php4854,03% test/index.php3863,21% install.php3182,64% i.php3102,57% pi.php2532,1% php.php2341,94% %SITEURL%.sql2191,82% test1.php2171,8% dump.sql1971,64% p.php1831,52%


Вот такая занимательная статистика. Убирайте ненужное барахло с серверов, друзья.
Василий Наумкин
16 сентября 2012, 08:52
modx.pro
1 274
0
Поблагодарить автора Отправить деньги

Комментарии: 2

Алексей
11 марта 2013, 01:50
0
никак не могу найти заметку про то как делать превью с канала youtube, где её искать?
upd: гугл все нашел -)
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
2