היו לי מספר פריצות בשבועיים האחרונים שנתקלתי בהן.
גיליתי שהעלו שני קבצי PHP ל-FTP של אחד הלקוחות ובאמצעותם החליפו את דפי הבית של מספר אתרים נוספם על השרת.
מדובר על שרת Win 2003 server עם Plesk

הרוב המוחלט של האתרים הם ASP, אך מה שנתן להם גישה לדיסק זה כנראה ה-PHP

הם פרצו מערכת OScommerce למישהו שאני מכיר וניצלו את הקובץ upload_file.php שנמצא בספריית ADMIN
על מנת לדרוס את ה
index.php

פריצה יכולה להתבטא בכמה רמות:

רמת פיתוח- הקוד עצמו. אין ממש הבדל בין רמת האבטחה. אך לדעתי php יותר קלה לפיתוח, זולה, מקצועית ואולי גם מאובטחת יותר.. איך לזהות מפתח טוב? פשוט! לרוב קוד מסודר נקי וקל להבנה נכתב על-ידי אדם עם ניסיון.
כלי הפיתוח- השפה, התוכנה שמקמפלת(זיהוי באגים וכו'), השרת(אפאצ'י).
ניהול המערכת- ניהול השרת, הגנות וכו'.

לרוב הפריצה היא ברמת ניהול השרת.. ללמוד שפה חדשה נשמע לי כמו רעיון מגוכח.