Dobry den, můžete mi nekdo prosim(z administratoru) pomoct najit chybny kod na me strance? zatim je to jednoduche jsou tam jen tri skripty. Nekdo mi totiz zjistil pristupove hesla ke strance a databazi. Dekuji predem, jeste delam zakladku, takze me mozna piste spise na mejl. pripadne icq 483-104-828
To, že děláš základku tě neomlouvá. Na diskusních fórech není rádno říkat, aby psali na email.
Administrátoři maji na starost technickou stránku WZ. To jest výpadky a tak. Problémy na uživatelově straně je nezajímá.
Polož si otázku, zda za hacknuti můžou ty skripty. K prolomení hesla skripty nepotřebuješ, i když blbě napsaný kód může hackerům pomoci. Většinou za to může snadné heslo, někdo z tvé blízkosti a tak.
Píše, že to je kódem, ale na stoyan.cz rikal, ze ma pomoci nejake bezpecnostni chyby na tomto serveru pristup ke vsem domenam presne cituji:
"
Ohledne wz.cz: staci zrusit open_basedir a pres /tmp/ si muzes vylistovat jakou domenu chces. ic.cz a dalsi hostingy jsou na tom podobne. Tohle asi nikdy neopravi - na bezpecnost dlabou, takze jedine reseni je si prejit na jiny hosting. Jenze ty na tom s bezpecnosti nejsou o moc lepe. Ty to beres asi jako super-hackersky postup, ale ver mi, ze toto jeste nic neni pane double-vysokoskolaku
"
píše to tomu co mi to hacknul
<HTML>Bohužel tu je jeden zádrhel - pro uživatele WZ neexistuje žádný způsob, jak zrušit open_basedir. Je to direktiva na stejné úrovni zabezpečení jako safe mode - nezmění ji žádná funkce v PHP ani .htaccess.</HTML>
Ale jak je potom mozne ze ten clovek vi o kazdem souboru, co mam na webu, a vedel o nich jeste pred tim, nez mi tu stranku sebral
Někdy stačí špatně napsaný include souboru, který byl předán jako parametr skriptu. Netuším však, zda to byl právě tvůj případ.
<HTML>Mohl znát heslo.</HTML>
No je tu ještě další zádrhel. Jak získal heslo k administraci? Způsob, který popisuje, by v žádnem případě k ziskáni hesla nedošlo. Hesla jsou uložena v databázi a doufám, že v šifrované podobě. Kdyby k tomu došlo. Mohl by útočník získat kompletní seznam všech uživatelů. Což je spíše katastrofický scenář.
Takže k ziskání přístupu k administraci musel použít klasické hackerské metody (bruteforce, slovník, odhad, špionáž, ..). Z toho pohledu je potřeba změnit heslo a to na něco silnějšího.
Něco jiného je ziskání hesla k databázi. Tyto údaje jsou totiž přístupné v uživatelově souboru. Takže je může vidět.
Otázka je také, co z toho je vlastně pravda. Mám pocit, že někteří si své úlovky záměrně zkresluji. Může klidně říct, že využil tu chybu a zjistil jaké soubory tam jsou. Přitom ve skutečnosti mohl použít FTP a normálně se tam podívat.
Jo, ale predtim, nez mi na to heslo prisel, jsem mel 12-ti mistne ciselne heslo, ktere podle me jen tak nekdo nemuze zjistit, muselo by mu zo trvat dlouho -- jak NORMALNE SE TAM PODIVAT?
Webzdarma je asi najlahsie hacknutelny freehosting .. takze sa necuduj ..
<HTML>momo: Dokaž. Jediný způsob, jak se někomu dostat na web, je znát heslo. Nepočítám samozřejmě chabé programátorské schopnosti uživatele / autora stránek.</HTML>
Jeste otazka na pana Kita, jak to myslite s tim spatne napsanym includem, vim ze je tam pouzivam, ale nepouzivam v nich zadne promenne, a jeste jedna otazka, muze byt v includovanem souboru dalsi include, aniz by to ztracelo na bezpecnosti? Otazka na Momo, jak to mislys s tim nejlehci hacknutelny freehosting?
Pokud voláš podstránku například takto:
http://theexit.wz.cz/index.php?cesta=kontakt.php
a ve skriptu je konstrukce:
include($_GET['cesta']);
nebo něco takového, tak se taková stránka dá velmi lehce hacknout.
<HTML>Kit, ale musí být povolené allow_url_fopen, aby to opravdu šlo. Jinak by ten soubor musel být už přímo připraven tam. Co je rozhodně snadno hacknutelné, je např. návštěvní kniha, která bez rozmyslu zapisuje příspěvky do textového souboru, který pro zobrazení includuje.</HTML>
Nípal: Vidíš, hledám složitosti i tam, kde jsou nahrazeny hloupostí.
jj. Knihy návštěv jsou nejsnáze hacknutelné aplikace ze všech. Hackeři si na nich dělaji své pokusy. Nedávno zrovna na mé knize udělali pěknou paseku. Šlo o XSS. Ale díky nim jsem tu chybu opravil. Vzal jsem z toho ponaučení a pokaždé na tohle beru ohled.
KIT: Když k tomu pouziju konstrukci switch, ktera vypda nejak takto, je to napadnutelne?
//§§§§§§§§§§§§§§§§§§§§§§--SWITCH§§§§§§§§§§§§§§§§§§§§§§§§§§§
if(isset($_GET['page'])){
switch($_GET["page"]){ //budeme "přepínat" page v adrese (index.php?page=stranka)
case "novinky": //pokud je obsah $_GET["page"] rovný stranka 1, provede kód až do break;
include "novinky.php"; //includuje stranka1.php
break; //Zařídí, aby se dále nic neprovádělo a skočilo na konec SWITCHe
case "autor": // -||-
include "autor.php"; //můžeme vkládat soubor s jakoukoliv koncovkou
break;
case "guestbook":
include "guestbook.php";
break;
case "galery";
include "galery.php";
break;
case "download";
include "download.php";
break;
case "hyperlinks";
include "hyperlinks.php";
break;
default: //pokud nebude souhlasit žádná z caseí, provede se následující kód
include "error404.php"; //vložíme stránku s infem, že stránka neexistuje
break;
}
}
//§§§§§§§§§§§§§§§§§§-END OF THE SWITCH--§§§§§§§§§§§§§§§§§§§§§
<HTML>Je-li to takto ošetřeno, pak útok přes ?page není možný.</HTML>