Witam Jakiś czas temu ktoś chyba na tej grupie próbował sprowokować ciekawą rozmowę na temat bezpieczeństwa (jakiś temat czy można podejrzeć źródło plików php.. czy coś takiego)
W sumie na php za dużo nie znam się.. ale myślę, że taki temat wart jest uwagi
A więc.. wczoraj jakiś chakier włamał mi się na jedną ze stron i za pomocą jakiegoś softu (jeden plik php miał wgląd na wszystkie moje pliki) czyli mógł w sumie wszytko z moim www zrobić
Po logach doszedłem, że plik został wrzucony (najprawdopodobniej) za pomocą formularza do dodawania grafiki czyli ktoś dał plik php jako rysunek.gif miałem testowanie rodzaju pliku za pomocą $_FILES['plik']['type'] ale widocznie to jedzie po rozszerzeniu pliku (mój niewybaczalny błąd)
No ale dobra, koleś wgrał plik php jako .gif i co dalej jak się wpisze ścieżkę dostępu do niego w przeglądarce to wyskoczy "nie moge otworzyć plku graficznego." (czy coś w podobie) Tak więc czy chakier mógł się włamać za pomocą tego formularza ??
I na koniec gwoźdź do trumny który mnie normalnie dobił chakier zostawił (albo nie zdążył usunąć) swojego softu z mojego konta tak więc odpalam go sobie, patrze co to ma, jak działa itp. i tu SZOOOOOOOK mam dostęp do kont współdzielonych na serwerze tak więc sumując wszytko do kupy
co z tym bezpieczeństwem.. bo jak to tak wygląda to masakra.
aha.. nie próbowałem zmieniać ani kasować plików na innych kontach, czy też coś uploadować, ale jak ma się dostęp do plików php (bo wgląd w nie działał) to tak jak by się miało wszytko.
przerzuciłem ten soft na inne konto www i już tak nie dziłał tzn na jednym hoscie wyświetlał mi listę kont współdzielonych i można było w sporą część ich zajrzeć, na drugim hoscie nie działało już wyświetlenie listy kont
Czyli może za bardzo panikuje porostu ten jeden host jest dziadoski i ma z dupy zabezpieczenia (ma safe_mod: off) - może to wina tego
Jak wspomniałem nie znam się za dużo na php dopiero od niedawna się bawię w kodowanie, a hakowanie zupełnie mnie nie kręci więc fajnie by było jak by ktoś doświadczony zabrał głos w tej sprawie.
z chęcią dowiedziałbym się czegoś ciekawego na temat bezpieczeństwa np jak się bronić przed chakierami ;)
Bezpieczeństwo PHP .... ciekawa
Witam Jakiś czas temu ktoś chyba na tej grupie próbował sprowokować ciekawą rozmowę na temat bezpieczeństwa (jakiś temat czy można podejrzeć źródło plików php.. czy coś takiego)
W sumie na php za dużo nie znam się.. ale myślę, że taki temat wart jest uwagi
A więc.. wczoraj jakiś chakier włamał mi się na jedną ze stron i za pomocą jakiegoś softu (jeden plik php miał wgląd na wszystkie moje pliki) czyli mógł w sumie wszytko z moim www zrobić
Po logach doszedłem, że plik został wrzucony (najprawdopodobniej) za pomocą formularza do dodawania grafiki czyli ktoś dał plik php jako rysunek.gif miałem testowanie rodzaju pliku za pomocą $_FILES['plik']['type'] ale widocznie to jedzie po rozszerzeniu pliku (mój niewybaczalny błąd)
zapewne masz gdzis kod tego typu: include ("katalog/".$_GET['plik']);
teraz wystraczy poszukac formularza z uploadem i jestesmy bardzo w domu.