Мы в твиттере Мы в телеграме!

Провеббер » DataLife Engine » Маленький фикс в безопасности DLE

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?
Обращайся к нам в ЛС группы Вконтакте.

Маленький фикс в безопасности DLE

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
Скачать бесплатно Маленький фикс в безопасности DLE.

Маленький фикс в безопасности DLE

Смотрел только что .htaccess файл и нашел там одну небольшую опечатку...

Файл /uploads/.htaccess
Самая первая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">

А именно [Ph], т.е. это упущение позволяет запускать *.phtml файлы из папки uploads. Вопрос - как они туда могут попасть, это уже другая тема. В данном случае это упущение позволяет запускать подобные файлы.

Не сложно догадаться, что чтобы исправить опечатку, достаточно тут подправить [Ph] следующим образом [Pp]. В итоге получится такая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?">


На заметку, PHP обрабатывает *.phtml файлы так же как обычный *.php файл.
Убедиться в этом можно, посмотрев конфиг файл сервера:
AddType application/x-httpd-php .php .php5 .phtml



С уважением,
Олег Александрович a.k.a. Sander


Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных


+25
Просмотры: 5 614 :: Комментарии (14) :: :: Нужна помощь? Задайте вопрос на форуме ::
Теги: dle, fix, Sander
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1compis

  • 2 марта 2013 14:32
  • Регистрация: 4.10.2011
  • Был(а) онлайн: 22.02.2024
  • Комментариев: 17
  • +1
Так ее нужно удалить. Иначе дубль получается:
([Pp][Hh][Pp]

#2Sander

  • 2 марта 2013 14:52
  • Регистрация: 19.02.2010
  • Был(а) онлайн: 20.04.2021
  • Комментариев: 327
  • +1
compis,
phtml это не дубль php

--------------------

#3compis

  • 2 марта 2013 15:46
  • Регистрация: 4.10.2011
  • Был(а) онлайн: 22.02.2024
  • Комментариев: 17
  • 0
Sander,
Спасибо, как-то между строк посмотрел. Это все чай виноват.

#4CamStyle

  • 2 марта 2013 16:20
  • Регистрация: 6.05.2010
  • Был(а) онлайн: 19.03.2014
  • Комментариев: 394
  • -1
Забыл добавить что чай был китайским.

#5kagorec

  • 2 марта 2013 22:59
  • Регистрация: 24.01.2010
  • Был(а) онлайн: 17.08.2020
  • Комментариев: 76
  • -1
Цитата: CamStyle
Забыл добавить что чай был китайским.

Собранный индийскими девственницами на правом берегу Нила

#6Myst1cal

  • 3 марта 2013 03:31
  • Регистрация: 7.05.2010
  • Был(а) онлайн: 10.11.2014
  • Комментариев: 19
  • 0
kagorec, тогда уже египетскими девственницами, иначе чай получится очень дорогой, везти индусок в Северную Африку)))

#7compis

  • 3 марта 2013 11:51
  • Регистрация: 4.10.2011
  • Был(а) онлайн: 22.02.2024
  • Комментариев: 17
  • +1
biggrin Пил обычный чай, даже не подозревая, что его собирали девственницы. Причем сборная девственниц - Индуски, Египтянки...

#8D0Gmatist

  • 3 марта 2013 12:35
  • Регистрация: 28.07.2012
  • Был(а) онлайн: 24.06.2021
  • Комментариев: 291
  • +1
А в друг это были евнухи?! bo

--------------------

#9naladchik

  • 3 марта 2013 12:54
  • Регистрация: 12.09.2010
  • Был(а) онлайн: 8.02.2023
  • Комментариев: 159
  • +5
И тема плавно переросла в тему любителей чая. chok

#10milky

  • 4 марта 2013 15:31
  • Регистрация: 6.11.2010
  • Был(а) онлайн: 30.01.2015
  • Комментариев: 3
  • 0
может я чтото недопонимаю, можете меня закидать помидорами :D, но во первых, в админке запрещена загрузка phtml, во-первых, во-вторых, даже когда я разрешил загрузку phtml, мне загрузчик файлов DLE-шный всеравно пишет что нельзя такое загружать..так как же тогда загрузить phtml на сервер без загрузчика файлов DLE?

#11Sander

  • 4 марта 2013 16:48
  • Регистрация: 19.02.2010
  • Был(а) онлайн: 20.04.2021
  • Комментариев: 327
  • 0
milky, Если вы не умеете этого делать, это не значит, что и другие не могут.

--------------------

#12Min-Z-Drav

  • 9 марта 2013 17:12
  • Регистрация: 14.09.2010
  • Был(а) онлайн: 16.10.2018
  • Комментариев: 51
  • 0
Sander, у меня на днях кто то загрузил в папку /uploads/ файл addnews.php оказался shell

--------------------

#13tizerlab

  • 8 июня 2013 13:21
  • Регистрация: 5.05.2012
  • Был(а) онлайн: 8.09.2014
  • Комментариев: 37
  • 0
А мне кажется что это вовсе и не опечатка, сам разработчик видимо спецом дыры оставляет...

#14Sander

  • 31 августа 2013 20:52
  • Регистрация: 19.02.2010
  • Был(а) онлайн: 20.04.2021
  • Комментариев: 327
  • 0
tizerlab, маловероятно. Даже не смотря на то, что точно такая же опечатка осталась в DLE 10, но уже в другом файле.
(Обновил статью у себя на блоге)

--------------------

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Архив новостей
Ноябрь 2024 (9)
Октябрь 2024 (169)
Сентябрь 2024 (13)
Август 2024 (60)
Июль 2024 (12)
Июнь 2024 (30)