2. Mai 2010 von Tom
Um den eigenen WordPress Blog auch vor zukünftigen Angriffen zu schützen gibt es einen einfachen aber wirksamen Kniff. Viele Angriffe laden bei Erfolg PHP-Code oder gleich ganze Scripte auf den Server die Gebrauch vom PHP Sprachkonstrukt eval() machen. Da seit dem 2.8.5er Release WordPress frei von eval aufrufen ist, kann auch einfach auf diese “Funktion” verzichtet werden. Die einfache Idee: Eval abschalten.
Die meisten Linux basierten PHP Setups kommen dieser Tage mit der Suhosin Extension von Stefan Esser. Und diese kann das. Eine kleine Einstellung aktivieren und schon führt der Aufruf von eval zum Abbruch des Skriptes:
suhosin.executor.disable_eval = On
Einfach in die php.ini damit und schon ist Ruhe im Karton.
Es ist übrigens noch gar nicht so lange her, dass noch eval Aufrufe im WordPress Quellcode waren. Der Patch demonstriert mit ein wenig objektorientierter Programmierung die einfache Implementierung eines “Statefull Automata” (Quellcode Dokumentation in englischer Sprache). Dieser macht die Verwendung von eval überflüssig um eine Substitution von Variabeln in einer Zeichenketter vorzunehmen (bei der Verarbeitung von Permalinks in WordPress).
Die einzige Frage die bleibt ist wie lange ein solcher Schutz vorhält. Kann ein Angreifer in Dateien schreiben (und sei es nur nach /tmp), so reicht es, den code über ein include() einzuladen. Oder aber allow_url_include = On ist gesetzt:
-
<?php
-
// Eval für Arme
-
$code = ‘echo "Hallo Welt.";’;
-
include "data://text/plain,<?php $code ?>";
-
?>
Via: Cheap Hack/Worm Protection for your WordPress Blog
Kategorie Home, Software | 0 Kommentare »
31. Januar 2009 von Tom
Es handelt sich nicht um ein weiteres HTML Element oder eine fremde Sprache. Es geht einfach nur darum, endlich dem Browser das abzugewöhnen, was ihn einst so populär gemacht hat. Oder einfach (rhetorisch) gesagt/gefragt: Würdest Du deinen Schreibtisch mit der ganzen Welt teilen wollen? Dein Getuschel mit den besten Freunden direkt ins Netz streamen mit Abschrift, Untertertiteln und Google Translate? weiter…
Kategorie Material, Software | 0 Kommentare »
5. Januar 2009 von Tom
Manchmal muss es eben closed sein. Dieser Vergleich kam eigentlich zufälliger Weise zustande. Denn die Recherche im Netz war weniger aussagekräftig und so entstand mittels Try and Error ein Praxistest der beiden Low-Cost-PHP-Encoder. weiter…
Kategorie Home, PHP, Software | 0 Kommentare »
11. August 2008 von dc7590
Brilliant statement about people who don’t have capes and realise that Agile is a philosophy rather than a fix set of methods.
It’s there to be adapted in part to your company, find the parts that work well for you and use them.
One thing at a time and not all at once, start with one small change and proceed over time. Teams need some transcendent staff to understand the agile adoption rather than those who just need rules to be effective.
Java Posse #176 – Roundup 08 – Why is Agile Hard?
This is about Language Agnostic software engineering.
Kategorie Home, Projekte, Software | 0 Kommentare »
11. März 2008 von dc7590
Something to smile at on day like today!
http://blog.t14g.de/index.php/archives/138
Thanks Marco
Kategorie Home, Software | 0 Kommentare »
18. Mai 2007 von dc7590
Siteframe™ is a lightweight content-management system designed for the rapid deployment of community-based websites. With Siteframe, a group of users can share stories and photographs, create blogs, send email to one another, and participate in group activities. Siteframe enables this by providing web-based content management so that anyone can create content without needing to learn HTML.
http://siteframe.org/
Kategorie Home, Software | 0 Kommentare »
PHP Usergroup Frankfurt am Main (PHPUGFFM)
