Сегодня зашёл на сайт Лебедева посмотреть, какие сайты он делает. Затем я пошел в 20.vtb.ru — сайт открытки, которую они сделали в рамках 20-летия ВТБ.
И к своему удивлению обнаружил, что помимо того, что Лебедев делает сайты на Битриксе, папки движка еще не закрыты.
Выяснилось несколько интересных моментов: В принципе, о раскрытии пути (при попытке выполнения отдельных PHP-файлов) говорить не приходится.
Fatal error: Call to undefined function IncludeModuleLangFile() in /u00/app/bitrix/Apache/htdocs/bitrix/modules/corp_events/include.php on line 4
20.vtb.ru/bitrix/templates/als_vtb20/data.txt - поздравления и ругательства от клиентов ВТБ в адрес родного банка - есть и забавные (например, вариантов пеших эротических путешествий было целых 27 из-за неадекватных процентных ставок ;) ) ) 20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt - резервный php-файл, авторские права которого принадлежат Лебедеву - если кому интересно, как там написан код 20.vtb.ru/bitrix/modules/lol.webdavadm - Интересно, кто это туда положил? 20.vtb.ru/bitrix/modules/security/admin/security_panel.php — незащищенный доступ к админке Битрикс.
В принципе, понятно, что при создании сайта в дизайн-студии вопросы сначала обсуждаются между дизайнером и копирайтером, а технологу по сути остается черновая работа.
Но я не понимаю, что мне мешало добавив что-то вроде следующего в .
htaccess. <FilesMatch "\.
(inc|info|templates|modules|profile|po|sh|.
*sql|theme|tpl(\.
php)?|xtmpl|svn-base)$|^(code-style\.
pl|Entries.*|Repository|Root|Tag|Template|all-wcprops|entries|format)$">
Order allow,deny
</FilesMatch>
P.S. Стоит отметить, что основной сайт ВТБ сделала другая компания.
И хоть тоже на Битриксе, но без косяков с открытыми папками как на сайте-открытке: www.vtb.ru/bitrix/modules Теги: #Артемий Лебедев #битрикс #дыры #информационная безопасность
-
Монетизация В Социальных Сетях
19 Oct, 24 -
Краудин: Местное Обезболивающее
19 Oct, 24 -
Генератор Прелоадера (Индикатора Загрузки)
19 Oct, 24
