Массовый взлом сайтов, работающих под управлением WordPress | автор: Luca | 12 мая 2010
Категория: Open Source
Буквально неделю назад меня снова упрекали в том что выбрал не правильную CMS для сайта. Два дня назад кто-то увидел php.exe exception вместо главной сайта и объявил Винду кривой. Но вот подоспели новости с фронтов и они как всегда доставляют.
"В сети отмечается всплеск взломов сайтов, построенных на базе движка Wordpress. Разработчикам пока не удалось выяснить причину взлома, так как взлому подверглись не только устаревшие версии, но и сайты на базе последней версии Wordpress.
После взлома в код footer.php интегрируется специально подготовленная php-вставка, выводящая JavaScript-блок, нацеленный на установку вредоносного ПО на машину пользователя при открытии сайта в необновленных версиях web-браузеров Internet Explorer и Firefox."
и тут же в догонку:
"Многочисленные уязвимости в различных реализациях функций PHP, разной степень опасности от инициирования краха и перехвата скрытой информации (preg_quote(), zend_sr opcode, zend_bw_xor opcode, html_entity_decode(), chunk_split(), addcslashes(), hash_update_file()), до организации выполнения кода (qlite_array_query(), sqlite_single_query()) и организации записи в произвольную область памяти интерпретатора (shm_put_var()). Корректирующий релиз PHP с исправлением представленных проблем еще не выпущен."
А теперь пару комментов:
xxx:Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP: построение SQL-запросов путем конкатенации, смешивание html-кода и программной логики, скрипты и файлы с данными вперемешку, изначальное отсутствие пространств имен, "magic quotes hell" (убрали, но каким местом раньше думали), register_globals (понятно, что обычно выключено, но как вообще можно было в здравом уме до такого додуматься).
yyy: это верно... причём код на PHP можно писать довольно надёжно, но выглядеть такой код будет ГРАМОЗДКО и НЕВЫНОСИМО...
вот например такой пример:
...становиться понятным что новичку в web (кто только изучает web и PHP) -- кажется что чтобы вывести ссылку нужно всеголишь написать:
Вот вам и технологии не решающие проблемы, а создающие новые трудности.
источник
источник2
Прочитано 6708 раз и оставлено 683 комментариев.
Буквально неделю назад меня снова упрекали в том что выбрал не правильную CMS для сайта. Два дня назад кто-то увидел php.exe exception вместо главной сайта и объявил Винду кривой. Но вот подоспели новости с фронтов и они как всегда доставляют.
"В сети отмечается всплеск взломов сайтов, построенных на базе движка Wordpress. Разработчикам пока не удалось выяснить причину взлома, так как взлому подверглись не только устаревшие версии, но и сайты на базе последней версии Wordpress.
После взлома в код footer.php интегрируется специально подготовленная php-вставка, выводящая JavaScript-блок, нацеленный на установку вредоносного ПО на машину пользователя при открытии сайта в необновленных версиях web-браузеров Internet Explorer и Firefox."
и тут же в догонку:
"Многочисленные уязвимости в различных реализациях функций PHP, разной степень опасности от инициирования краха и перехвата скрытой информации (preg_quote(), zend_sr opcode, zend_bw_xor opcode, html_entity_decode(), chunk_split(), addcslashes(), hash_update_file()), до организации выполнения кода (qlite_array_query(), sqlite_single_query()) и организации записи в произвольную область памяти интерпретатора (shm_put_var()). Корректирующий релиз PHP с исправлением представленных проблем еще не выпущен."
А теперь пару комментов:
xxx:Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP: построение SQL-запросов путем конкатенации, смешивание html-кода и программной логики, скрипты и файлы с данными вперемешку, изначальное отсутствие пространств имен, "magic quotes hell" (убрали, но каким местом раньше думали), register_globals (понятно, что обычно выключено, но как вообще можно было в здравом уме до такого додуматься).
yyy: это верно... причём код на PHP можно писать довольно надёжно, но выглядеть такой код будет ГРАМОЗДКО и НЕВЫНОСИМО...
вот например такой пример:
<?phpесли бы каждый начинающщий программист изначально знал бы что для того чтобы вывести всеголишь одну HTML-ссылку -- нужно так много PHP-кода (и такие длинные названия функций. конешно ведь не было пространств имён) , то онбы не стал и начинать изучать PHP...
$name_arg = stripslashes($_GET['name']);
echo
'<а href="'.htmlspecialchars(
$_SERVER['SCRIPT_NAME'].'?profile='.urlencode($name_arg)
).'">'.
htmlspecialchars('Перейти к профилю: '.$name_arg).
'</а>';
...становиться понятным что новичку в web (кто только изучает web и PHP) -- кажется что чтобы вывести ссылку нужно всеголишь написать:
<?php
echo
'<а href="'.$_SERVER['SCRIPT_NAME'].'?profile='.$_GET['name'].'">'.
'Перейти к профилю: '.$_GET['name'].
'</а>';
Вот вам и технологии не решающие проблемы, а создающие новые трудности.
источник
источник2
ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 12 мая 2010-го года !
Прочитано 6708 раз и оставлено 683 комментариев.
Вот учись у своего предводителя Линьфаня, вон как 
Впрочем, как и винды... 
#1.