ExBB Team ExBB Developer ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
Дядя Митя пишет:yura3d, Я вот что-то наверное непонял. Установил я последние заплатки которые призванны не дать злоумышленнику получить доступ к содержимому файлов на сервере а доступ так и есть, то есть я могу скачивать любой файл зная его расположение. Юра, что именно даёт это обновление безопасности?
Изначально, если сервер правильно настроен, Вы можете по HTTP получить доступ только к файлам, расположенным в соответствующей для этого папке (как правило, для хранения html-страниц, скриптов, изображений и прочих Ваших файлов используется папка www, public_html, domains и др.) Однако одним содержимым Ваших сайтов содержимое сервера не ограничивается. На верхнем уровне файловой иерархии сервера могут располагаться важные файлы, храняющие, например, пароли FTP-пользователей, данные механизма сессий PHP, файлы таблиц и индексов MySQL и пр. Получить доступ к этим файлам, прописав путь к ним в браузере, Вы не можете просто потому, что они располагаются уровнем выше. Для PHP-скриптов же, как правило, таких ограничений нет, и прочитать можно практически любой файл. Брешь в безопасности ExBB как раз и предоставляла возможность чтения любых файлов на сервере, в том числе системных. На данный момент все найденные лазейки уже закрыты с помощью выпуска последних заплаток |