Залез сегодня на сайт Лебедева, сайты посмотреть какие он делает. Зашел потом на http://20.vtb.ru - сайт открытка которую они делали в рамках 20-ти летия ВТБ. И на удивление обнаружил что помимо того что Лебедев делает сайты на Битриксе, папки движка еще и не закрыты.
Обнаружились некоторые интересные моменты:
Про раскрытие пути в принципе можно и не говорить (при попытке исполнить отдельные php-файлы)
Fatal error: Call to undefined function IncludeModuleLangFile() in /u00/app/bitrix/Apache/htdocs/bitrix/modules/corp_events/include.php on line 4
http://20.vtb.ru/bitrix/templates/als_vtb20/data.txt - поздравления и проклятия от клиентов ВТБ родному банку - встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )
http://20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt - бекап php-файла за копирайтом Лебедева - если вдруг кому интересно как там код пишут
http://20.vtb.ru/bitrix/modules/lol.webdavadm/ - интересно кто это туда залил?
http://20.vtb.ru/bitrix/modules/security/admin/security_panel.php - незакрытый доступ в админку Битрикса.
В принципе понятно что при создании сайта в дизайн-студии в первую очередь обсуждаются вопросы между дизайнером и копирайтером, а технологу остается по сути черновая работа.. Но что мешало в .htaccess добавить что-то типа нижеприведенного я не понимаю.
<FilesMatch "\.(inc|info|templates|modules|profile|po|sh|.*sql|theme|tpl(\.php)?|xtmpl|svn-base)$|^(code-style\.pl|Entries.*|Repository|Root|Tag|Template|all-wcprops|entries|format)$">
Order allow,deny
</FilesMatch>
PS
стоит отметить что основной сайт VTB делала другая контора хоть тоже на Битриксе, но без косяков с открытыми папками как сайте-открытке
http://www.vtb.ru/bitrix/modules/
- +7 (926) 444-92-82
- dim [at] acolyte.ru
- dim_korol
- 
- 936 766
Отправить комментарий