Autor Zpráva
WalmezYetti
Profil *
Dobrý den/večer,

mám takovou možna nelogickou otázku, ale podle toho co sem napíšu jsem se naboural do svých www stránek přes ochranu a to i s databází a i přes velmi drahý a uznávaný hosting (svým způsobem na to nemá vliv). Nezabránilo mi nic, abych se naboural a tím mohl udělat nemalou paseku. Neboli bezpečnost www stránek e-obchodů a redakčních systémů bude asi pase, pokud to není jenom čistě moje náhoda, což vylučuje to, že stejným postupem jsem se dostal do spřátelených www stránek založeném na jiném základu redakčního systému. Předem říkám že nejsem programátor.

Problémem je v php skriptu, neboli páru řádku v konfigurace.php (configuration.php) atd..... (zadal jsem hodnoty jen pro představu samozřejmě obrazně)

// nastavení připojení k databázi
define('DBHOST', 'localhost'); // server (databáze)
define('DBLOGIN', 'root'); // login do databáze
define('DBHESLO', 'blabla'); // heslo
define('DBBASE', 'neco'); // jméno databáze
define('DBPREFIX', 'id_'); // prefix pro případné odlišení tabulek v rámci jedné databáze
define('SERVER', 'http://localhost/www.neco.cz/'); // www adresa obchodu (s "/" na konci)

nebo

/* Database Settings */
var $dbtype = 'mysql';
var $host = 'localhost';
var $user = 'root';
var $password = 'blabla';
.......

1. jak se dostat k tomuto souboru kde zjistím vlastně přihlášení do databáze

Stačí zadat příslušnému nejmenovanému programu příkaz stahuj všechno s názvem konfigurace.php po celé web prezentaci www.neco.cz. U prezentace cca 100 Mb velké cca 30 secund a je stáhlé co potřebuji.

2. samozřejmě otevřu soubor konfigurace.php a naleznu tíživé informace pro přihlášení do databáze.

3. přihlásím se do databáze a mažu o 106 :), nebo v horším případě přidám řádku pro administraci, nebo kopíruji všechny osobní data, atd .....

Je to možné, nebo mám něco špatně já ? Pokud ano tak velmi uznávané světově proslulé internetové obchody a redakční systémy se tímto stanou vlastně sobě nebezpečnými.

Mě se to povedlo. A potřeboval bych někoho znalého. Mohu jen říct že tohle neřeší ani MD5, VHA1 atd.... prostě s těch řádků si to heslo vyčtu ať má třeba 150 znaků.

Děkuji za názory popř. pokud bude někdo znát řešení prosím uveďte.

Prosím o vyjádření jelikož jsem tímto vlastně v rozpacích zdali vůbec dále něco takového provozovat jako je E-obchod :( .

Předem děkuji za názory a uvítam řešení jak tomu zabránit.
bitbit
Profil
1, nejednodussi = nepouzivat pro konfiguracni soubory ty nejzremnejsi nazvy, takze treba bflmpsvz.php

2, .htacess + .htpasswd = zaheslovani pristupu do slozek s dulezitymi daty, primo serverem - localhost povolen porad

a nasly by se dalsi moznosti.

a pochybuji, ze nejaky program stahne obsah php souboru, bez pripojeni na ftp.

pokud chce stahnout web pres http, tak dokaze stahnout akorad vystup -> ze pokud konfig.php neobsahuje echo, tak stahne prazdny soubor.
WalmezYetti
Profil *
takže jednodušeji řečeno něco jako uložit přihlašovací soubory do log na serveru by bylo super ale nejsem programátor a např. redakční systém joomla to má v public_html ... to jest z mého hostingu názvy složek ...

program stahuje soubor nečte ho jako prohlížeče, ale dokáže číst skripty na serveru.... Mohu dodat překlad z arabštiny mě stál 2 litry slivovice
WalmezYetti
Profil *
ps : jak to nastavit nebo zadat aby to bylo skryté prosím
bitbit
Profil
pokud program nepouziva nejakou diru systemu, tak se k neprelozenemu php skriptu nedostane. Proste web server nepreda neprelozeny skript.
bitbit
Profil
pohledejte si neco o .htacess a .htpasswd souborech. Z hlavy to nedam a nejsem ted na Verejne IP, kterou mam povolenou na pristup k filesouborum webu.
Darkweaver
Profil
Soubor .htaccess
------------------------------------------------------------------------------------

AuthUserFile /sem/napiste/cestu/k/.htpasswd
AuthName "text který se zobrazí pri vyskocení okna pro login"
AuthType Basic
require valid-user

Soubor .htpasswd
------------------------------------------------------------------------------------
jmeno:heslo // Heslo si zasifrujte pomoci funkce crypt()

Todle umístěte do složky se soubory které chcete mít zaheslované.
Nebo je taky možný mít znepřístupněnou složku všem. Složka nebude přístupná, ale scripty se
tam dostanou, takže se na funkčnosti webu nic nezmnění
WalmezYetti
Profil *
O děkuji pánové za radu

to Darkweaver

1. takže vytvořit soubory no problem
2. vytvoření a použití funkce crypt() bych ješte zvládl sice se s tím budu prát, ale aspoň něco nového
3. dešifrování ??? má to vliv na obslužnost nebo jsou s tím spojena další úskalí pro admina?
Nox
Profil
Nemělo by stažení souboru zabránit správné nastavení práv na ftp?
ada
Profil *
Stačí zadat příslušnému nejmenovanému programu příkaz stahuj všechno s názvem konfigurace.php po celé web prezentaci www.neco.cz. U prezentace cca 100 Mb velké cca 30 secund a je stáhlé co potřebuji.

velmi by me zajimalo jak se ten vas program jmenuje, protoze jak uz tu bylo receni web server mu da vzdy zpracovany vystup, leda ze by tam byla nejaka dira


2. samozřejmě otevřu soubor konfigurace.php a naleznu tíživé informace pro přihlášení do databáze.
to by me zas tak nebolelo, stejne se k ni nepripojite protoze je pristupna jen z localhostu
Bubák
Profil
WalmezYetti
Tak se ukaž se zdrojákem, PHP soubor máš ná zlatém podnose:
http://teststranek.kvalitne.cz/prohlizec/index.php

Teoreticky je možné, že program využívá nějakou známou? díru ve starších verzích PHP.
WalmezYetti
Profil *
WalmezYetti
Tak se ukaž se zdrojákem, PHP soubor máš ná zlatém podnose:
http://teststranek.kvalitne.cz/prohlizec/index.php
Teoreticky je možné, že program využívá nějakou známou? díru ve starších verzích PHP.

No jenom, abych to dokončil neznám program - byl v arabštině. Přeložil mi ho známý s upozorněním, že je to hra se sirkami u nádrže s benzínem. Takže nezkouším na cizích - program jsem si zkusil na svých a spřátelených stránkách, díru jsme objevili a opravili dle víše psaného návodu. Nevím jak program funguje nebudu ho šířit, získal jsem ho náhodou na CD na netu jsem ho nenašel. Jenom jsem vznesl dotaz jak tomu zabránit což splňuje .htacess + .htpasswd. což mi pomohlo to vyřešit a program se nedostane přes tuto ochranu. Takže děkuji všem za pomoc a radu a doporučuji ostatním ,aby své amaterské redakční systémy, internetové obchody nechali prokontrolovat nějakým hackrem, (já to nejsem takže nekontroluji) ono data přihlášených, neboli registrovaných lidí jsou celkem slušný kapitál.

K tomu programu : není to skript je to instalace na unix. Navolíte adresu stránky a funguje podobně jak když máte program na ukládání offline stránek teď mě nenapadá žádný takový, ale vím že i některé dokázali načíst kompletní web i s php , program nečetl php ale stahoval vše co se dalo soubory, složky plné. Možná něco s chmod, nebo tak já nevím, nerozumím tomu.

Na závěr ještě jednou dík za radu.
WalmezYetti
Profil *
o by me zas tak nebolelo, stejne se k ni nepripojite protoze je pristupna jen z localhostu

no nepsal jsem zde své přihlašovací údaje dal jsem to jako příklad takže mě napadl localhost .....
srigi
Profil
Darkweaver
Ten zapis je IMO moc komplikovany. Uplne postaci do kazdej zlozky, kde chceme zakazat pristup umiestnit subor .htacces s tymto obsahom:
Options -Indexes
Deny From  All


To ze to ten program dokazal stiahnut, by som pricital zlemu nastaveniu Apache.
ninja
Profil
WalmezYetti: dokud nam sen nevlozite obsah souboru index.php co vkladal Bubak a zadal o otestovani, tak jste prachprosty lhar.

"Program v arabstine, nevim ja se jmenuje, prelozil znamy..." Todle vam uveri mozna tak kamaradi ve skole.

BTW: ja na http://www.neco.cz/konfigurace.php skript nenasel. Patrne jste chtel naspat www.example.com, ale pochybuji, ze vubec tusite co to je...
Aesir
Profil
WalmezYetti
Stačí zadat příslušnému nejmenovanému programu příkaz stahuj všechno s názvem konfigurace.php po celé web prezentaci

Konfigurace, knihovny, a podobné věci nepatří do document rootu webu, mají být uloženy mimo a se správně nastavenými právy. Samozřejmě to nezabrání díře v aplikaci, ale to už je věc jiná.
Zákaz přístupu přes htaccess je jen obcházení neschopnosti hostingu.
Joker
Profil
WalmezYetti
Stačí zadat příslušnému nejmenovanému programu příkaz stahuj všechno s názvem konfigurace.php po celé web prezentaci
Jakému programu? Co ten program udělá?

a) Pokud útočník má přístup k webu jen přes HTTP, neměl by mít šanci se k tomu dostat.
a-1. Sice získá výstup skriptu, ale pokud autor skriptu není vyložený truhlík, přístupové údaje v tom výstupu nebudou.
a-2. Když udělám alespoň základní zabezpečení a adresář s konfigurací bude mít .htaccess s deny from all, nedostane se přes HTTP ani k tomu výstupu souboru. Sice může stokrát vědět, že na webu je soubor třeba include/konfigurace.php, ale zadání té adresy vrátí 404.

b) Pokud útočník získá přístup k webu přes FTP, žádné zabezpečení přístupových údajů k databázi už nepomůže.
Útočník si jednoduše vezme nějaký skript připojující se k databázi a upraví ho, aby mu poslal dotazy, které potřebuje.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: