Безопасность ЛС: Раскрытие директорий в ЛС

Вряд ли это можно назвать серьезной дырой, но все же это есть:

Уровень опасности: низкий
Тип: раскрытие имени пользователя (аккаунта) на сервере
Версии движка, которые подвержены данной опасности: все, начиная с LS 0.4

Вызов по прямой ссылке любого модуля из директории модулей ядра ЛС вызывает ошибку, которая раскрывает полный путь в файловой системе и имя аккаунта на сервере. Например, прямое обращение в модулю кеширования:


http://site.com/engine/modules/cache/Cache.class.php

В результате получаем ошибку не нахождения класса конфига (Config):


Fatal error: Class 'Config' not found in /home/username/public_html/engine/modules/cache/Cache.class.php on line 18

В ошибке высвечивается username — имя аккаунта на сервере.

Для некоторых модулей ошибка будет связана с не нахождением класса модуля (Module)

РЕШЕНИЕ

В каждый файл в /engine/modules/*/ после 1 строки вставить код:


// prevent hacking
if (!class_exists ('Config') or !class_exists ('Module')) die ('Slow down, cowboy!');

ИЛИ (рекомендуется)

Положить в директорию /engine/modules/ файл .htaccess с следующим содержимым:


Order Deny,Allow
Deny from all

Оригинал здесь

14 комментариев

Или вынести движек за приделы паблик зоны, что со всех сторон гораздо правильней.

darkden
11 декабря 2012, 08:30
+1
↓


ИЛИ (рекомендуется)

Положить в директорию /engine/modules/ файл .htaccess с следующим содержимым:

Order Deny,Allow
Deny from all

И попробуйте что-либо создать (новый блог хотя бы)

anwri
12 декабря 2012, 04:01
0
↓

и?..
успешно создается

PSNet
12 декабря 2012, 04:11
0
↑
↓

у меня по такой ссылке

Ошибка HTTP 500 (Internal Server Error): Непредвиденная ситуация была обнаружена в то время как сервер пытался выполнить запрос.

censured
12 декабря 2012, 04:54
0
↓

на данном сервере вывод ошибок отключен

BMay
12 декабря 2012, 05:30
0
↑
↓

на моем же сервере ошибочка появляется

BMay
12 декабря 2012, 05:31
0
↑
↓

fix github.com/livestreet/livestreet/commit/c2231cd3a104970c88687699afbb68ccddbf8d48

ort
12 декабря 2012, 10:09
+2
↓

все ок, но в самой же


function getRequestStr($sName,$default=null,$sType=null) {
    return (string)getRequest($sName,$default,$sType);
}

(https://github.com/livestreet/livestreet/commit/c2231cd3a104970c88687699afbb68ccddbf8d48#L24R115)

можно вызвать снова ошибку приведения типов. предлагаю там сделать так:


function getRequestStr($sName,$default=null,$sType=null) {
    $val = getRequest($sName,$default,$sType);
    return (is_string ($val) ? $val : null);
}

PSNet
12 декабря 2012, 19:18
+1
↑
↓

каким образом вызвать ошибку?

ort
12 декабря 2012, 19:48
0
↑
↓

print_r (gettype (getRequestStr ('plugin')));

URL

site.com/?plugin[]=yesimanarray

PSNet
12 декабря 2012, 19:55
0
↑
↓

string

нет никаких ошибок, опиши подробнее

ort
12 декабря 2012, 20:09
0
↑
↓

на версии пхп 5.4 будет ошибка

PSNet
12 декабря 2012, 20:12
0
↑
↓

php.net/manual/ru/migration54.incompatible.php
8 пункт

PSNet
12 декабря 2012, 20:13
0
↑
↓

Мб конечно уже не актуально, но в 5.1 раскрытие директории возможно например ещё при косяке с подключением к mysql.

SQL Error: php_network_getaddresses: getaddrinfo failed: Имя или служба не известны at /wwwpools/u0448/site.ru/engine/modules/database/Database.class.php line 66
Array ( [code] => 2002 [message] => php_network_getaddresses: getaddrinfo failed: Имя или служба не известны [query] => mysql_connect() [context] => /wwwpools/u0448/site.ru/engine/modules/database/Database.class.php line 66 )

ewden
12 декабря 2012, 11:34
0
↓

LiveStreet CMS

Новые расширения из каталога

Безопасность ЛС: Раскрытие директорий в ЛС

РЕШЕНИЕ

14 комментариев