Сегодня* обнаружил до нелепости примитивную брешь в безопасности сайта, которым занимаюсь по работе. Дыра настолько дурацкая, что захотелось поскорее поделиться пережитыми эмоциями с читателями блога.
Сайт работает под управлением широко известной системы bitrix. Недостатков, с которыми приходиться ежедневно мириться в процессе работы предостаточно, но это отдельная история, а может и целый цикл «страшных баек». Зайдя в корневую директорию сайта по ftp, я обнаружил среди прочих файл с обращающим на себя внимание названием: install.php. Рядом лежал одноимённый архив gzip.
Разумеется я не устоял перед любопытством и открыл в браузере этот файл. Дело своё он выполнил знатно: затёр пол сайта, приведя его в полную неработоспособность. Я откатил последний бэкап, улыбнулся и пошёл удалять это «шикарное» наследство…
* — этой заметке уже более года, почему-то она залежалась у меня в черновиках и «поскорее поделиться пережитыми эмоциями», увы не довелось. Вот сегодня решил вытащить её на свет Божий, забавно всё таки.
