ДАННЫЕ ФАЙЛЫ ПОЗВОЛЯТ ЗЛОУМЫШЛЕННИКУ НАВРЕДИТЬ ВАШЕМУ WEB-РЕСУРСУ
На днях прислали совершенно замечательную заметку о тестовых файлах и дампах, оставленных на сайте после разработки.Вроде, все знают, что так делать не надо — но масштабы разгильдяйства поражают.
Текст привожу как есть, с небольшими правками.
Я не буду говорит громких фраз типа «взлом сервера», т.к. цель моих аудитов как правило сводится к одному — найти способ получить доступ к конкретному сайту. Но даже тут, как правило работа начинается со сбора информации.
Допустим у вас сайт находится на каком-нибудь обычном хостинге. В корне сайта лежит phpinfo.php и что? Да то, что мы с легкостью можем узнать логин пользователя которому принадлежит данный сайт. А уж выяснить где он хостится дело пары минут. На самом деле обычное раскрытие путей позволит нам добиться этого же эффекта.
Решил узнать, как часто люди оставляют подобные файлы на продакшине в корне сайта. Далеко ходить не нужно, на хабре на эту тему было аж целых 3 статьи!
К сожалению (или к счастью), последная была размещена почти год назад.
Пробежавшись по комментам составил приличный список файлов в которые как правило запихивают вызов phpinfo(). После чего приступил к написанию простенького парсера, проверяющего на сайтах наличие этих самых файлов.
Когда парсер был уже готов пришла мысль расширить его функционал добавив проверку на наличие таких файлов, как dump.sql, dump.zip, site.tar.gz и т.п.
Итого, получился неплохой списочек. Затем этот список был немного расширен средствами парсера, т.к. были добавлены проверки вида %siteurl%.tar.gz, %siteurl%.sql и т.д. А ведь действительно, зачем искать всякие sql-injection и т.п., если можно скачать дамп сайта?
Ну все, хватит сопли разводить, перейдем к самому интересному — статистике. Всего было проверено 63 228 сайта. Обнаружено файлов из моего списка 12 041. Не хило правда?
| Наличие потенциальных дампов | 3518 | 3562 | 5,56% |
| Наличие потенциальных файлов конфигурации | 540 | 558 | 0.85% |
| Наличие файлов с потенциальной информацией phpinfo | 2976 | 3008 | 4.71% |
| Отладочная информация | 3881 | 4913 | 6.14% |
А теперь статистика по популярности имен:
| test.php | 1131 | 9,39% |
| info.php | 670 | 5,56% |
| phpinfo.php | 592 | 4,92% |
| 1.php | 485 | 4,03% |
| test/index.php | 386 | 3,21% |
| install.php | 318 | 2,64% |
| i.php | 310 | 2,57% |
| pi.php | 253 | 2,1% |
| php.php | 234 | 1,94% |
| %SITEURL%.sql | 219 | 1,82% |
| test1.php | 217 | 1,8% |
| dump.sql | 197 | 1,64% |
| p.php | 183 | 1,52% |
| config.php.bak | 183 | 1,73% |
| config.inc.bak | 182 | 1,77% |
| sql.sql | 181 | 1,5% |
| db.sql | 181 | 1,5% |
| 123.php | 178 | 1,48% |
| site.sql | 176 | 1,46% |
| debug.sql | 172 | 1,43% |
| temp.php | 171 | 1,42% |
| backup.sql | 166 | 1,38% |
| database.sql | 160 | 1,33% |
| www.sql | 157 | 1,3% |
| _info.php | 147 | 1,22% |
| tmp.php | 143 | 1,19% |
| dump.php | 136 | 1,13% |
| _phpinfo.php | 134 | 1,11% |
| xxx.php | 133 | 1,1% |
| %SITEURL%.tar.gz | 132 | 1,1% |
| info_.php | 125 | 1,04% |
| qqq.php | 125 | 1,04% |
| killall-9.php | 125 | 1,04% |
| hack.php | 124 | 1,03% |
| qwe.php | 123 | 1,02% |
| delete-production.php | 123 | 1,02% |
| fuck.php | 123 | 1,02% |
| wso.php | 123 | 1,02% |
| zzz.php | 122 | 1,01% |
| phpinfo_.php | 121 | 1% |
| php.info.php | 120 | 1% |
| asd.php | 120 | 1% |
| phpphp.php | 119 | 0,99% |
| dick.php | 119 | 0,99% |
| suck.php | 118 | 0,98% |
| asdf.php | 117 | 0,97% |
| zxc.php | 117 | 0,97% |
| site.tar.gz | 112 | 0,93% |
| dump.tar.gz | 111 | 0,92% |
| db.tar.gz | 111 | 0,92% |
| %SITEURL%.zip | 110 | 0,91% |
| sql.tar.gz | 109 | 0,91% |
| backup.tar.gz | 109 | 0,91% |
| public_html.tar.gz | 104 | 0,86% |
| download.tar.gz | 96 | 0,8% |
| www.tar.gz | 94 | 0,78% |
| database.tar.gz | 94 | 0,78% |
| site.zip | 85 | 0,71% |
| backup.zip | 83 | 0,69% |
| db.zip | 82 | 0,68% |
| dump.zip | 80 | 0,66% |
| public_html.zip | 80 | 0,66% |
| www.zip | 78 | 0,65% |
| config.php.txt | 74 | 0,61% |
| db.txt | 72 | 0,6% |
| download.zip | 69 | 0,57% |
| database.zip | 66 | 0,55% |
| config.inc.txt | 63 | 0,52% |
| sql.zip | 56 | 0,47% |
| sql.txt | 56 | 0,47% |
Комментариев нет:
Отправить комментарий