На просторах интернета можно найти интернет шлюз построенный на линухе Ideco ICS (стоит $$).
Вот и я, одним хмурым утром его нашел.
Его внутренности вызывают двойственное впечатление. С одной стороны реализовано местами достаточно секурно, с другой стороны - веб-интерфейс - во-первых написан на php, что как бы намекает, а во-вторых содержит строки следующего вида:
eval($_GET['generator']
PoC: https://127.255.255.0/loaders/contloader.php?generator=phpinfo&control=combobox
причем, предварительно параметры никак не проверяются на корректность, что подтверждает мои опасения.
На этом лулзы не кончились, я обожаю товарищей, которые путают понятия шифрование и кодирование. Мой пациент хранит пароли в БД поксоренные на 188.
Еще много чего интересного можно рассказать, например, про кривые правила межсетевого экрана, но поскольку на полноту обзора я не претендую, то когда-нибудь в другой раз.
К чему это я? Тестируйте свой код и делайте ему ревью, аудит и т.д., а главное - доверьте это дело профессионалам.
ЗЫ: Разрабам из Айдеко, уже давно сообщено про эти баги, и даже, наверно, их исправили, поскольку с версии 3.1.5 уже вышло много апдейтов, а если нет, то сами себе злобные буратины, я их предупреждал.
ЗЫ2: Любопытно, изменили ли они свой подход к изготовлению своих поделок.
Это российский высер какой-то, чего ты хотел? :)
денег у них заработать $)