Про лишнее барахло на сайтах
На днях прислали совершенно замечательную заметку о тестовых файлах и дампах, оставленных на сайте после разработки.
Вроде, все знают, что так делать не надо — но масштабы разгильдяйства поражают.
Текст привожу как есть, с небольшими правками.
Я не буду говорит громких фраз типа «взлом сервера», т.к. цель моих аудитов как правило сводится к одному — найти способ получить доступ к конкретному сайту. Но даже тут, как правило работа начинается со сбора информации.
Допустим у вас сайт находится на каком-нибудь обычном хостинге. В корне сайта лежит phpinfo.php и что? Да то, что мы с легкостью можем узнать логин пользователя которому принадлежит данный сайт. А уж выяснить где он хостится дело пары минут. На самом деле обычное раскрытие путей позволит нам добиться этого же эффекта.
К сожалению (или к счастью), последная была размещена почти год назад.
Пробежавшись по комментам составил приличный список файлов в которые как правило запихивают вызов phpinfo(). После чего приступил к написанию простенького парсера, проверяющего на сайтах наличие этих самых файлов.
Когда парсер был уже готов пришла мысль расширить его функционал добавив проверку на наличие таких файлов, как dump.sql, dump.zip, site.tar.gz и т.п.
Итого, получился неплохой списочек. Затем этот список был немного расширен средствами парсера, т.к. были добавлены проверки вида %siteurl%.tar.gz, %siteurl%.sql и т.д. А ведь действительно, зачем искать всякие sql-injection и т.п., если можно скачать дамп сайта?
Ну все, хватит сопли разводить, перейдем к самому интересному — статистике. Всего было проверено 63 228 сайта. Обнаружено файлов из моего списка 12 041. Не хило правда?
А теперь статистика по популярности имен:
Вот такая занимательная статистика. Убирайте ненужное барахло с серверов, друзья.
Вроде, все знают, что так делать не надо — но масштабы разгильдяйства поражают.
Текст привожу как есть, с небольшими правками.
Я не буду говорит громких фраз типа «взлом сервера», т.к. цель моих аудитов как правило сводится к одному — найти способ получить доступ к конкретному сайту. Но даже тут, как правило работа начинается со сбора информации.
Допустим у вас сайт находится на каком-нибудь обычном хостинге. В корне сайта лежит phpinfo.php и что? Да то, что мы с легкостью можем узнать логин пользователя которому принадлежит данный сайт. А уж выяснить где он хостится дело пары минут. На самом деле обычное раскрытие путей позволит нам добиться этого же эффекта.
К сожалению (или к счастью), последная была размещена почти год назад.
Пробежавшись по комментам составил приличный список файлов в которые как правило запихивают вызов phpinfo(). После чего приступил к написанию простенького парсера, проверяющего на сайтах наличие этих самых файлов.
Когда парсер был уже готов пришла мысль расширить его функционал добавив проверку на наличие таких файлов, как dump.sql, dump.zip, site.tar.gz и т.п.
Итого, получился неплохой списочек. Затем этот список был немного расширен средствами парсера, т.к. были добавлены проверки вида %siteurl%.tar.gz, %siteurl%.sql и т.д. А ведь действительно, зачем искать всякие sql-injection и т.п., если можно скачать дамп сайта?
Ну все, хватит сопли разводить, перейдем к самому интересному — статистике. Всего было проверено 63 228 сайта. Обнаружено файлов из моего списка 12 041. Не хило правда?
| Метрика | Сайтов | Файлов | % от всех сайтов | Наличие потенциальных дампов | 3518 | 3562 | 5,56% | Наличие потенциальных файлов конфигурации | 540 | 558 | 0.85% | Наличие файлов с потенциальной информацией phpinfo | 2976 | 3008 | 4.71% | Отладочная информация | 3881 | 4913 | 6.14% |
|---|
А теперь статистика по популярности имен:
| Файл | Вхождений | % от всех файлов | test.php | 1131 | 9,39% | info.php | 670 | 5,56% | phpinfo.php | 592 | 4,92% | 1.php | 485 | 4,03% | test/index.php | 386 | 3,21% | install.php | 318 | 2,64% | i.php | 310 | 2,57% | pi.php | 253 | 2,1% | php.php | 234 | 1,94% | %SITEURL%.sql | 219 | 1,82% | test1.php | 217 | 1,8% | dump.sql | 197 | 1,64% | p.php | 183 | 1,52% |
|---|
Вот такая занимательная статистика. Убирайте ненужное барахло с серверов, друзья.
16 сентября 2012, 08:52
18 апреля 2024, 21:54
Не отображаются добавленные поля в редактировании пользователя.
Добавил одно поле в «общую информацию», для другого создал вкладку, в ней ещё вкладку...
18 апреля 2024, 17:01
попробуйте убрать exit(true);
18 апреля 2024, 11:28
$_modx->resource['tv-name']Или в чанках где-то внутри pdoResources
$_pls['tv-name']но лучше избегать дефис в названиях TV. Дефис н...
17 апреля 2024, 19:46
cпасибо!
17 апреля 2024, 19:12
С расположение пакетов это одна из проблем которую на мой взгляд нормально не решишь, всегда на измене что то то можешь затереть
По этому и придумал ...
17 апреля 2024, 09:41
Исходники открою ага. В общественный репозиторий пока не переношу.
