Уязвимость видеоплеера hdflvplayer
Этот пост будет интересен владельцам сайтов и веб-программистам, и вообще написан больше для поисковых систем и гостей с них, чем для френд-ленты.
Речь пойдет о бесплатном видеоплеере, который висит довольно высоко в результатах выдачи гугла по профильным запросам. Называется он hdflvplayer, конкретно разбираем версию 4,1. Проблема в том, что он является дырой для взлома вашего сайта и показа на нем скрытой рекламы (по крайней мере на текущий момент она показывается в 1-пиксельном фрейме).
Итак, вспомним известную поговорку "бесплатный сыр только в мышеловке". С софтом все немного иначе, есть куча проектов, результат работы которых не требует обязательной оплаты, а живут они или за счет пожертвований, или благодаря продаже платных расширений, или за счет рекламы. Вот для всяких видеоплееров и видеохостингов последний вариант монетизации наиболее частый. Владельцы же hdflvplayer решили пойти 4 путем, а именно зарабатывать на взломе сайтов, разместивших их плеер.
Причем в файлах этого плеера дыра не одна, а целых 3! Допускаю, что еще 2 были сделаны не из злого умысла, а исключительно из-за лени подумать немного больше, чем требуется.
Дыра №1. Файл email.php в корне папки плеера. Его задача отправить ссылку на видео по заполненной форме. Проблема в том, что через этот файл можно рассылать спам с вашего сервера, в конце письма которого будет ссылка на ваше видео... или не ваше, т.к. ссылка на видео также берется из заполненной формы.
Дыра №2. Файл download.php в корне папки плеера. Его задача обеспечить скачивание файла видео при желании юзера. Проблема в том, что указанный на скачивание файл не проверяется ни на расширение (чтобы было только видео), ни на расположение. Т.о. злоумышленник может посмотреть любой файл у вас на сервере, к которому у РНР есть доступ на чтение. Ладно хоть редактировать или удалять не может. :)))
Дыра №3. Файл subtitle/LICENSE.php в корне папки плеера. Вот его-то задача и заключается в загрузке на сайт произвольного файла. Т.е. через него загружается какой-то файл РНР или PERL, а потом через браузер этот файл запускается. Несложно догадаться, что при таком инструментарии на сервере можно сделать все, что угодно. В нашем случае в главный шаблон сайта в конец добавляется инклуд на файл с фреймом. Вот участок вредоносного кода:
Вот так вот. Тщательно проверяйте сторонние скрипты при использовании в своих проектах и "храните деньги в сберегательной кассе" (с) :)