Исправляем ошибку безопасности DLE

Раздел: DataLife Engine » Советы по DLE
Исправляем ошибку безопасности DLE
Довольно интересная ошибка была замечена в файле безопасности /uploads/.htaccess или опечатка со стороны разработчиков многофункционального новостного скрипта DataLife Engine. Опечатка может позволить злоумышленникам заливать на сайт PHP файлы . А, это в свою очередь может привести к тому, что вы потерять доступ, базу данных или быть взломаны.

Исправляем ошибку безопасности DLE, речь идет про [Ph], т.е. это упущение дает возможность запускать *.phtml файлы из папки uploads. Вопрос - как туда закидывают такие файлы для взлома, уже другая тема. В данном случае, подобное упущение, может привести к запуску таких файлов. Советуем на ресурсе все для дле dle9.com важную информацию.
Итак исправить данную ошибку в .htaccess файле, следующим образом.

Файл /uploads/.htaccess
Самая первая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">


Не сложно догадаться, чтобы исправить опечатку, достаточно подправить [Ph] следующим образом [Pp]. В итоге получится такая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?">


На заметку, PHP обрабатывает *.phtml файлы также как обычный *.php файл.
Убедиться в этом можно, посмотрев конфигурацию файла на сервере:
AddType application/x-httpd-php .php .php5 .phtml


С уважением,
Олег Александрович a.k.a. Sander
  • 100
Рубрика: Все для DLE » Советы по ДЛЕ
Ранее » Ошибка Filtered - на всех сторонних модулях DLE (решение)« Далее Адаптация шаблоны 9.8 до DLE 10.0
Добавление комментарияОставить комментарий
  • № :1
  • 16 августа 2015 03:05
будем знать спасибо