Обезопатсьте свой форум (дыра разработчиков)

[redwert]

По умолчанию в форуме есть настройка которая после установки модов создает в public_html резервные копии измененных файлов. Например если изменения делаются в файле index.php, то создается файл index.php~   вот его и можно скачать без всяких проблем стороннему пользователю.
Мне встречался мод который делал изменения в файле settings.php - так в этом случае все пароли к базам и ftp будут открыты стороннем пользователям.

Опция дописки символа ~ устанавливается в админке форума (по моему в настройках установки модов)

[Mavn]

через htaccess запрети скачивать подобные файлы да и все

[redwert]

а что туда дописать надо в httacces

[Fenix]

а что туда дописать надо в httacces

У нас так:

Код Выделить Развернуть


<Files ~ "\.(php~)$"> 
order allow,deny 
deny from all 
</Files>


[digger®]

По умолчанию в форуме есть настройка которая после установки модов создает в public_html резервные копии измененных файлов. Например если изменения делаются в файле index.php, то создается файл index.php~   вот его и можно скачать без всяких проблем стороннему пользователю.
Мне встречался мод который делал изменения в файле settings.php - так в этом случае все пароли к базам и ftp будут открыты стороннем пользователям.

Опция дописки символа ~ устанавливается в админке форума (по моему в настройках установки модов)

А дыра в чем? Сторонний пользователь всегда может просто взять и посмотреть эти файлы в дистрибутиве. Если паранойя, то создание таких резервных копий отключается в настройках форума.
settings.php~ никогда не создается.

[BIOHAZARD]

обсуждалось ещё на примере 1.1.9 кажется - тогда вообще заявили, что это суперпупер уязвимость
но что-то мы всем местным форумом так и не смогли придумать ситуацию, при которой появляется settings.php~
вместо него появляется settings_bak.php, а его уже не просмотришь