تعداد بازدید 1600

admin

سلام دوستان./

پس آنکه با چکونگی بوجود آمدن این باگ آشنا شدید نوبت به رفع این مشکل امنیتی رسیده./

برای این کار راههای زیر را به شما پیشنهاد میکنم هرچند شما خودتون می توانید با سیاست های منطقی از بروز این گونه باگ ها جلوگیری کنید:

1- اولین روشی که برای جلوگیری از این حملات به چشم می خورد غیرفعال کردن کد برای باز کردن فایل از روی سرور دیگر. برای این کار باید فایل php.ini را ویرایش نمایید:کد:allow_url_fopen = offهر چند این کد می تواند از حملات جلوگیری کند اما قابل دور زدن است! مثلا اگر شل برروی همان سرور باشد براحتی می توان آنرا برروی این هاست هم انتقال داد! و موارد دیگر که دوستان خوب به آن واقفند

2- با استفاده از کد زیر می توانید به نوعی این باگ را پچ کنید:کد PHP:

کد:

کد:

defined("_VALID_MOS") or die ("the rfi bug patched!!");

این روش اجازه باز کردن فایل رو نمی ده ولی بازهم قابل اعتماد نیست!

3- در این روش ما با استفاده از یک تابع بر روی ورودی فیلتر های مناسب را اعمال کرده و یک کد شسته رفته تحویل سرور برای پردازش می دهیم:کد PHP:

کد:

کد:

<a href=index.php?page=file1.php>Files</a>

<?php

$page = cleanAll($_GET[page]);

include($page); 

?>

و اما تابع برای پردازش:کد PHP:

کد:

کد:

<?php 

function cleanAll($input) { 

$input = strip_tags($input); 

$input = htmlspecialchars($input);

return($input);

} 

?>

امیدوارم که مفید واقع شده باشه./

موفق باشید...

تعداد بازدید 1600 پچ باگ rfi
نویسنده	پیام