Support us

О безопасности symfony-приложений

Оставить комментарий
О безопасности symfony-приложений
Symfony — свободный каркас, написанный на PHP5, который использует паттерн Model-View-Controller (MVC). По-моему личному впечатлению, да и, думаю, впечатлению многих проект очень удачный, поэтому он широко используется при создании сайтов. Именно поэтому стоит уделять особое внимание возможным уязвимостям. В данной статье пойдёт речь о одной из таких уъязвимостей — о разработчике. В свободное от работы время люблю позаниматься своими проектами, которые написаны с использованием php, различных свободных CMS и фреймворков. Один из таких проектов использует symfony в качестве основы. Как и большинство начинающих изучать symfony, начал я с примера, в котором создавались два приложения – frontend и backend. Frontend отображается пользователю, а backend используется для администрирования сайта. Symfony генерирует для этих приложений четыре файла:
index.php,  frontend_dev.php, backend.php,  backend_dev.php

  • index.php, backend.php – это production версии скриптов.
  • frontend_dev.php, backend_dev.php – это dev версия скриптов.
frontend_dev.php, backend_dev.php предназначены для отлаживания приложения на локальной машине и выводят много интересной информации: конфигурицию приложения, запросы к базе и много другое. Открыв эти файлы в редакторе, несложно заметить, что в них есть заглушка, убрав которую, можно отлаживать уже с любой машины.
if (!in_array(@$_SERVER['REMOTE_ADDR'], array('127.0.0.1', '::1'))) { 
die('You are not allowed to access this file. Check '.basename(__FILE__).' for more information.'); 
}
Зная данную информацию, напрашивается вопрос, как часто разработчики используют стандартные названия и поддаются соблазну удалённой отладки. Для поиска ответов на эти вопросы лучше всего обратиться к google. Первый же запрос “inurl:frontend_dev.php” выдаёт 495 000 результатов. Не все из результатов относятся к symfony, но цифра 495 000 впечатляет. Теперь, немного модифицируя запрос, можно найти много чего интересного. К примеру: “app_facebook_secret_key inurl:frontend_dev.php”. Более детальный анализ есть тут.
16 лет dev.by — «дефолтный» источник информации о беларусском ИТ

Вы можете...

Читайте также
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
Бюджетный способ прокачать навыки и повысить зарплату — это профессиональный сертификат от Google, IBM или крупного зарубежного университета. На Coursera как раз можно найти десятки полезных обучающих программ по машинному обучению, проджект-менеджменту и не только. Собрали 10+ сертификаций, которые будут выигрышно смотреться в резюме как новичка, так и опытного специалиста.
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
На платформе Coursera можно найти сотни курсов от крупных корпораций, включая Google, Amazon и HubSpot. Это отличная возможность начать новую карьеру, повысить квалификацию и просто получить плюс в профессиональную карму. Мы собрали 10 программ от ИТ-компаний, которые помогут освоить машинное обучение, UX-дизайн, продакт-менеджмент, кибербезопасность и многое другое.
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
Сделали обзор VPN-сервисов, которые лидируют в рейтингах, и сделают вашу работу в интернете быстрой и безопасной.
3 комментария
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Акция от NordVPN: Скидка 68% + 3 месяца бесплатно
Только сегодня при покупке NordVPN c тарифным планом на 2 года или год вы экономите до 68% и получаете возможность блокировать вредоносные ПО, трекеры, защищать вашу личную информацию от различных веб-сайтов. 
7 комментариев

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.