kwestia bezpieczeństwa w PHP :: 4programmers.net

tomkiewicz

2005-06-18 10:25

tomkiewicz2005-06-18 10:25

Rejestracja:około 23 lata
Ostatnio:prawie 3 lata
Postów:1193

w ciagu oststniego pol roku wlamano sie na moja stronke 3 razy z 2 roznych zrodel :-|. Podejrzewam, ze sposob byl podobny, ale nie moge sie doszukac jak...

Znacie moze jakies dobre kursy zabezpieczen w PHP? Znalazlem kilka, ale wszystkie zawieraja wlasciwie to samo - co wiecej - moja strona jest (raczej) na nie zabezpieczona, a przynajmniej mi sie na nia nie udalo wlamac korzystajac z przykladow :-/

Nie wiem, czy to pomoze, ale wlamywaczowi udalo sie zuploadowac na serwer plik o rozszerzeniu php...

Adam.Pilorz

2005-06-18 13:13

Adam.Pilorz2005-06-18 13:13

Rejestracja:prawie 22 lata
Ostatnio:ponad 14 lat
Postów:2998

To sprawdzasz w takim razie gdzie może być dziura w uploadzie - czy nie ma gdzieś możliwości uploadowania pliku o dowolnym rozszerzeniu, albo nie ma jakiegoś słabego hasła na FTP (zdarza się, że zamiast włamywać się przez stronkę złamie lub odgadnie hasło na FTP i śmiga).

tomkiewicz

2005-06-18 13:20

tomkiewicz2005-06-18 13:20

Rejestracja:około 23 lata
Ostatnio:prawie 3 lata
Postów:1193

wlamanie na FTP odpada, bo np. "skasowanie" loga odbylo sie przez strone (przycisk "kasuj log" nie służy do kasowania loga :->) - przez ftp wystarczy usunac plik...

Zas jesli chodzi o upload to owszem, mozna uploadowac plik o dowolnym rozszerzeniu, ale wszystkie zapisuja sie jaki zip i nie o okreslonej nazwie, ale jako kolejny numerek...

Adamo

2005-06-18 13:39

Adamo2005-06-18 13:39

Rejestracja:około 21 lat
Ostatnio:około 13 lat

a jaki adres tej stronki ? :>

tomkiewicz

2005-06-18 15:25

tomkiewicz2005-06-18 15:25

Rejestracja:około 23 lata
Ostatnio:prawie 3 lata
Postów:1193

adres podalem przez gg - nie chcialbym, aby nagle kilka osob sie rzucilo na moja stronke, jakby to bylo try2hack ;)

Bełdzio

2005-06-18 17:18

Bełdzio2005-06-18 17:18

Rejestracja:prawie 22 lata
Ostatnio:ponad 15 lat
Postów:729

jak mamy Ci coś poradzić skoro nie chcesz podać adresu ??

PS ad adres w Twojej stropce - naucz się używać instrukcji warunkowych ;)

migajek

2005-06-18 19:10

migajek2005-06-18 19:10

Rejestracja:ponad 21 lat
Ostatnio:ponad 6 lat
Postów:370

tomkiewicz napisał(a)

adres podalem przez gg - nie chcialbym, aby nagle kilka osob sie rzucilo na moja stronke, jakby to bylo try2hack ;)

zadne try2hack, ale nie znajac zabezpieczen... jestes pewien ze gdzies nie jest przesylana do bowsera nazwa pliku?

Qyon

2005-06-20 14:11

~~Qyon~~2005-06-20 14:11

Rejestracja:około 21 lat
Ostatnio:około 14 lat

Nie znając? Jak reszta jest równie solidna jak to: http://www.tomkiewicz.hostings.pl/?page=../index to :)

tomkiewicz

2005-06-20 15:40

tomkiewicz2005-06-20 15:40

Rejestracja:około 23 lata
Ostatnio:prawie 3 lata
Postów:1193

ok, podaje ;)

www.zamaika.prv.pl

Qyon - thx za podpowiedz, ale zamaika (teraz, nie przed atakami) jest na to odporna - akceptuje tylko includy skladajace sie z 8 liter (wyłącznie liter). Nie rozumiem jednak, jak mozna sie bylo wlamac za pomoca czegos takiego :-|

EDIT:
jak ktos chce sprawdzic, jak sie tym sposobem wlamac to moge zdjac zabezpieczenie na czas testow :)

EDIT2:
jak ktos chce zeby zdjac zabezpieczenie - niech pisze na gg (niewidoczny) - 0000000...