Обнаружение Полного Пути в phpBB и в phpNuke
В настоящее время хакеры для обнаружения полного пути до скрипта пользуются отсутствием проверки переменной на массив перед вызовом функции htmlspecialchars(), preg_match() и тому подобных. Особенно те переменные которые передаются скрипту из вне методом POST или GET.
В результате чего, сконфигурировав правильно запрос, злоумышленник увидит полный путь! Т.к. phpNuke и phpBB как и многие скрипты не обладают такой проверкой, то самой правильной и нужной, для тех кто еще не сделал это, просто запретить вывод ошибок php на экран, для этого добавьте строчку в файл config.php: PHP код:
|
это хоть где можно прописать?
|
Vek читайте все написано же:
если у вас phpNuke 7.8 или нюка с патчем 3,0, то этого делать не надо. а в PHP-NUKE 7.7 данная строка содержится в файле mainfile.php |
а в конфиге в любом месте прописать?
|
Vek да, только отдельной строкой.
|
Vek Если стоит более ранняя версия патча то данный код ini_set('display_errors','0'); установлен вверху файла mainfile.php если там поставить 0 или 1 то соответственно включается и выключается вывод ошибок на экран а в более поздних патчах это есть в файле config.php
|
уже давно воткнул в маинфайл а я даже не знал серьезность предназначения этой функции
мне пришлось ее воткнуть так как на локалке одни ошибки показывались з.ы. аватары тут умереть - не встать! почему низя свои добавлять? |
MadMan
таковы правила нашего форума! |
да не впринцепе даже угарно =)
|
Часовой пояс GMT +4, время: 18:25. |
Copyright © 2005 by Soniks