Заметка Сниффер, или закладки ?

X-Oleg

Местный
Сообщения
588
Симпатии
618
Баллы
93
#1
Всем привет !

Что-то включил паранойю и начил проверять код плагинов, так мельком, ибо у меня много, а раньше и не проверял !

Особенно платники, любят вставлять стучалки при установки, самая стрёмная стучалка у плагинов бривиума:

Файл:Brivium/BriviumLibrary/Installer.php

Данные:

Код:
$validator->setParameterPost('domain', $domain);
            $validator->setParameterPost('full_base_path', $fullBasePath);
            $validator->setParameterPost('ip_address', $ipAddress);
            $validator->setParameterPost('addon_id', $addonId);
            $validator->setParameterPost('title', $addonTitle);
            $validator->setParameterPost('version_id', $addonVersion);
            $validator->setParameterPost('server', $_SERVER);
Как видите не хило, даже пути отсылает, зачем ?

Интересная вещь у TaigaChat, в админку зачем-то запихивает внешнюю картинку, похожую на сниффер, зачем ?

Файл:addon-TaigaChat.xml

Шаблон панели:dark_option_template_taiga

Картинка:

Код:
<a href='http://xenforo.com/community/resources/taigachat-pro-realtime-chat-shoutbox.1224/' target='_blank'><img src="http://imgkk.com/i/__e6.jpg" alt="" title=":3" /></a></div>]]>
Вот такие-вот дела...:)
 

dvp89

Проверенный
Сообщения
10
Симпатии
13
Баллы
3
#2
Про Бривиума, официальный форум почитать и всё сразу понятно, да у него была вредная привычка, от которой его отучили.

Про чат, достаточно глянуть чей хост изображений, да он автора чата, он следит за чатом ещё с бесплатной версии.
 

SOUL

АдминкА
Администратор
Сообщения
6.550
Симпатии
9.813
Баллы
266
#3
Всем привет !

Что-то включил паранойю и начил проверять код плагинов, так мельком, ибо у меня много, а раньше и не проверял !
Привет, Олег!
Не знаю, видел ли ты эту тему http://xenforotest.ru/threads/prove...-na-behkdory-shelly-i-drugie-ujazvimosti.331/

Тоже очень интересна самостоятельная проверка плагинов и стилей, так вот, на что посоветуешь в первую очередь обращать внимание?

Я понимаю, что без более фундаментальных знаний в этой области, эффективность таких проверок небольшая, но всё-таки есть же какие-то ключевые моменты?
 

X-Oleg

Местный
Сообщения
588
Симпатии
618
Баллы
93
#4
Привет !

Да я в пхп спец ещё тот, но если интересно именно моё мнение, то первое на что лучше обратить внимание:

1)Get-Post запросы, пример:

Код:
$validator->setParameterPost('full_base_path', $fullBasePath);
            $validator->setParameterPost('ip_address', $ipAddress);
            $validator->setParameterPost('addon_id', $addonId);
            $validator->setParameterPost('title', $addonTitle);
            $validator->setParameterPost('version_id', $addonVersion);
            $validator->setParameterPost('server', $_SERVER);
Как видите full_base_path - Путь к плагину; ip_address - Айпишник пользователя; server - Айпишник сервера... Зачем это автору плагина ?

2)Подозрительные файлы, с непонятным кодом, который и в плагине даже не юзается, пример:

Может ничего страшного, но пример в этом плагине:http://xenforotest.ru/threads/download-tracker.223/ есть файл Hashes.php с таким кодом:

Код:
<?php

class Ragtek_DT_Hashes
{
    public static function getHashes()
    {
        return array (
  'library/Ragtek/DT/ControllerPublic/Attachment.php' => '2d91c3797b51504113a9bf2ec572a3a4',
  'library/Ragtek/DT/Install.php' => '80545274d4333043a37b36437e18e168',
  'library/Ragtek/DT/Model/Attachment.php' => '02e5ffcee0b6acab13f35b599468c866',
  'library/Ragtek/DT/StaticMethods.php' => 'f6ffec603f7d7c0746c840c9c2f16492',
);
    }
}
Нигде не юзается, хеши неподходят, для чего он ?

3)Ну-да можно проверить на eval и base64, другое дело, что иногда эти функции играют полезную роль и их удаление может всё поломать в плагине...

4)Далее стоит обратить внимание, на фильтрацию спец. символов, например таких ' " < >, т.е. в нормальном плагине они должны экранироваться (Т.е. преобразовываться в

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

), иначе намеренно, или нет можно исполнить код...

5)Можно также проверить файлы АВ на шеллы и т.д., также есть специальные утилиты которые проверяют код на подозрительные вставки...

Ну и последнее, чем сложнее плагин, тем легче там что-то скрыть, поэтому устанавливать плагины лучше от зарекомендовавших себя авторов ! :)
 

SrDEN

Местный
Сообщения
115
Симпатии
109
Баллы
43
#5
Как вариант надо еще искать шестнадцатеричные значения:
PHP:
chr(hexdec('x29'));
и еще шелописатели прячут код в preg_replace:
PHP:
preg_replace("/.*/e","//далее 16-ричный код
 

dvp89

Проверенный
Сообщения
10
Симпатии
13
Баллы
3
#7
Если не ошибаюсь, проверка контрольных сумм файлов в админке форума, admin.php?tools/file-check
Да, всё верно, проверка на целостность, так же она работает и при установке дополнения.
 
Вверх Снизу