Ломанули Shop-Script Premium (

Статус
В этой теме нельзя размещать новые ответы.
Будем надеяться что "МОЗГИ" дальнейших команд кодеров не начнут затею очередного CMS типа джумла слаед и тд,а напишут что то дефицитное типа магазина,либо хотя бы доделают эту (пс я как бы уже =))
Я вот некоторое время на ayola.net сидел,и там суппорт объявил что теперь не надо выставлять права на запись,те по настройкам все соотвествуют дефолту (775 и 644) но при этом записываются нормально,на вопрос из-за чего это сделано был ответ что это настройки безопасности...кто может сказать что и как это,если это действенно то возможно защита от лишнего залива шелей.
 
В SS premium 1.24, чтобы не залили шелл, поставьте права 444 на файл .htaccess, который лежит в папке product_files, первым делом когда получают доступ к админке заливают шелл туда, но сначала заливают файл .htacces с открытим доступом для всех, потом сам шелл. Если выставить 444 на .htacces, то перезаписать его уже не смогут, хоть шелл и залют, но запустить его не смогут :)

Добавлено через 9 минут
Скачал посмотреть shopscript free. В оформлении заказа углядел такое
Код:
db_query("insert into ".ORDERS_TABLE." (order_time, cust_firstname, cust_lastname, cust_email, cust_country, cust_zip, cust_state, cust_city, cust_address, cust_phone) values ('".get_current_time()."','".$_POST["first_name"]."','".$_POST["last_name"]."','".$_POST["email"]."','".$_POST["country"]."','".$_POST["zip"]."','".$_POST["state"]."','".$_POST["city"]."','".$_POST["address"]."','".$_POST["phone"]."');") or die (db_error());
И нигде перед этим нет никаких проверок того, что приходит в $_POST[]
Так что мой совет: держитесь подальше от этого магазина.
Я и в премиум версии подобное видел, тоже прямо из пост делается запрос к БД, только там не insert into был а SELECT, но тоже опасно.
 
сегодня обнаружил вот такого виря temp.php в папке products_files/
Кто чего хотел напакостить и как с этим бороться?
Касперский определяет эту хрень как троянскую программу Backdoor.PHP.Rst.ak
Это не вирь, это шелл - файл-менеджер на php, с редактором, скачкой, закачкой, выполнением команд и т д.
причём temp.php это madshell, скачать можно здесь
 
rainless, чем грозит указанный вами код в строке заказа?

(db_query("insert into ".ORDERS_TABLE." (order_time, cust_firstname, cust_lastname, cust_email, cust_country, cust_zip, cust_state, cust_city, cust_address, cust_phone) values ('".get_current_time()."','".$_POS.....)

я так понимаю, что идет некий мониторинг заказов, верно?
 
rainless, чем грозит указанный вами код в строке заказа?

(db_query("insert into ".ORDERS_TABLE." (order_time, cust_firstname, cust_lastname, cust_email, cust_country, cust_zip, cust_state, cust_city, cust_address, cust_phone) values ('".get_current_time()."','".$_POS.....)

я так понимаю, что идет некий мониторинг заказов, верно?

Даная конструкция небезопасна так как человек который знает как правильно написать запрос может изменить запрос и получится что в полях с заказом вместо напимер с названием товара будет стоять логин/пароль админа и при просмотре своих заказов он увидит тот самый пароль :)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху