Про лишнее барахло на сайтах
На днях прислали совершенно замечательную заметку о тестовых файлах и дампах, оставленных на сайте после разработки.
Вроде, все знают, что так делать не надо — но масштабы разгильдяйства поражают.
Текст привожу как есть, с небольшими правками.
Я не буду говорит громких фраз типа «взлом сервера», т.к. цель моих аудитов как правило сводится к одному — найти способ получить доступ к конкретному сайту. Но даже тут, как правило работа начинается со сбора информации.
Допустим у вас сайт находится на каком-нибудь обычном хостинге. В корне сайта лежит phpinfo.php и что? Да то, что мы с легкостью можем узнать логин пользователя которому принадлежит данный сайт. А уж выяснить где он хостится дело пары минут. На самом деле обычное раскрытие путей позволит нам добиться этого же эффекта.
К сожалению (или к счастью), последная была размещена почти год назад.
Пробежавшись по комментам составил приличный список файлов в которые как правило запихивают вызов phpinfo(). После чего приступил к написанию простенького парсера, проверяющего на сайтах наличие этих самых файлов.
Когда парсер был уже готов пришла мысль расширить его функционал добавив проверку на наличие таких файлов, как dump.sql, dump.zip, site.tar.gz и т.п.
Итого, получился неплохой списочек. Затем этот список был немного расширен средствами парсера, т.к. были добавлены проверки вида %siteurl%.tar.gz, %siteurl%.sql и т.д. А ведь действительно, зачем искать всякие sql-injection и т.п., если можно скачать дамп сайта?
Ну все, хватит сопли разводить, перейдем к самому интересному — статистике. Всего было проверено 63 228 сайта. Обнаружено файлов из моего списка 12 041. Не хило правда?
А теперь статистика по популярности имен:
Вот такая занимательная статистика. Убирайте ненужное барахло с серверов, друзья.
Вроде, все знают, что так делать не надо — но масштабы разгильдяйства поражают.
Текст привожу как есть, с небольшими правками.
Я не буду говорит громких фраз типа «взлом сервера», т.к. цель моих аудитов как правило сводится к одному — найти способ получить доступ к конкретному сайту. Но даже тут, как правило работа начинается со сбора информации.
Допустим у вас сайт находится на каком-нибудь обычном хостинге. В корне сайта лежит phpinfo.php и что? Да то, что мы с легкостью можем узнать логин пользователя которому принадлежит данный сайт. А уж выяснить где он хостится дело пары минут. На самом деле обычное раскрытие путей позволит нам добиться этого же эффекта.
К сожалению (или к счастью), последная была размещена почти год назад.
Пробежавшись по комментам составил приличный список файлов в которые как правило запихивают вызов phpinfo(). После чего приступил к написанию простенького парсера, проверяющего на сайтах наличие этих самых файлов.
Когда парсер был уже готов пришла мысль расширить его функционал добавив проверку на наличие таких файлов, как dump.sql, dump.zip, site.tar.gz и т.п.
Итого, получился неплохой списочек. Затем этот список был немного расширен средствами парсера, т.к. были добавлены проверки вида %siteurl%.tar.gz, %siteurl%.sql и т.д. А ведь действительно, зачем искать всякие sql-injection и т.п., если можно скачать дамп сайта?
Ну все, хватит сопли разводить, перейдем к самому интересному — статистике. Всего было проверено 63 228 сайта. Обнаружено файлов из моего списка 12 041. Не хило правда?
| Метрика | Сайтов | Файлов | % от всех сайтов | Наличие потенциальных дампов | 3518 | 3562 | 5,56% | Наличие потенциальных файлов конфигурации | 540 | 558 | 0.85% | Наличие файлов с потенциальной информацией phpinfo | 2976 | 3008 | 4.71% | Отладочная информация | 3881 | 4913 | 6.14% |
|---|
А теперь статистика по популярности имен:
| Файл | Вхождений | % от всех файлов | test.php | 1131 | 9,39% | info.php | 670 | 5,56% | phpinfo.php | 592 | 4,92% | 1.php | 485 | 4,03% | test/index.php | 386 | 3,21% | install.php | 318 | 2,64% | i.php | 310 | 2,57% | pi.php | 253 | 2,1% | php.php | 234 | 1,94% | %SITEURL%.sql | 219 | 1,82% | test1.php | 217 | 1,8% | dump.sql | 197 | 1,64% | p.php | 183 | 1,52% |
|---|
Вот такая занимательная статистика. Убирайте ненужное барахло с серверов, друзья.
16 сентября 2012, 08:52
20 ноября 2024, 16:25
В сниппете rcv3_html достаточно отложить загрузку через setTimeout (хотя кто-то делает через onClick). Не думаю что мой вариант самый правильный и что...
19 ноября 2024, 10:51
Решил свою проблему через имя пользователя, но хотелось бы через права пользователя «Неограниченные права»
<?php
/**
* Системное событие OnMan...
19 ноября 2024, 09:09
Спасибо, тоже очень интерестное решение.
18 ноября 2024, 15:21
'where' => [
'Data.price:!='=>'0'
]
18 ноября 2024, 14:19
miniShop2.Order.add('extfld_delivery_price','100', function() {
miniShop2.Order.getcost();
})
Это вот работает, но чтобы увид...
18 ноября 2024, 10:11
Благодарю за ответы.
16 ноября 2024, 21:12
Спасибо. Работает.
