phil@dreamless ru 01 06 2013 n.
Download
Skip this Video
Download Presentation
Как взломать Joomla, WordPress, MODx, etc за 5 минут

Loading in 2 Seconds...

play fullscreen
1 / 7

Как взломать Joomla, WordPress, MODx, etc за 5 минут - PowerPoint PPT Presentation


  • 185 Views
  • Uploaded on

Филипп Кулин , phil@dreamless.ru 01.06.2013. Как взломать Joomla, WordPress, MODx, etc за 5 минут. Ваша CMS проверяет, что загружают?. Отсутствие комплексной проверки файла или ошибка в проверке Загрузка файла с расширением .PHP вместо картинки

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Как взломать Joomla, WordPress, MODx, etc за 5 минут' - ila-richard


Download Now An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
Ваша CMS проверяет, что загружают?
  • Отсутствие комплексной проверки файла или ошибка в проверке
  • Загрузка файла с расширением .PHP вместо картинки
  • Интерпретция apache'ем файлов image.php.jpg как файла .php
  • Функция fileinfo()
slide3
Превьюшки картинок
  • Для простоты в параметре просто путь. Например было долго у TinyMice
  • Это же превьюшка, зачем там что-то проверять?
  • Одна из наиболее популярных уязвимостей WordPress
slide4
Как искать
  • Искать файлы .php начинающиеся на GIF89
  • 'eval(base64_encode(' обычно нужно только для сокрытия кода
  • *.php в папке /images/, /img/, /upload/, /files/
slide5
Что с этим делать клиенту
  • Универсального способа нет.
  • Антивирусы не имеют базы сигнатур дырок CMS
  • CMS делают исправления только нового кода. Обновляться.
  • Закрывать исполнение php в папках для загрузки
slide6
Что делать нам
  • Универсального способа нет.
  • Я предоставляю шаблоны nginx с закрытыми каталогами картинок
  • 1GB.RU по шаблону вроде /wp-admin/ перекидывает на страничку подтверждения
  • mod_security?
ad