Autor | Zpráva | ||
---|---|---|---|
ctverecek Profil |
#1 · Zasláno: 23. 7. 2009, 22:53:16
Zdravim, je nejak mozne zabezpecit cele stranky na FTP? Tak aby nejaky hacker nemohl prez chytre programky obsah FTP stahnout? Jde to nejak prez .htaccess ci neco podobneho?
|
||
Ghosting Profil |
#2 · Zasláno: 23. 7. 2009, 23:19:10
Trochu pomateny dotaz. Jednotlive slozky na webu jdou z "venku" zabezpecit pres .htaccess. Ale kdyz ma utocnik hesla do FTP serveru tak si je muze stahnout.
|
||
ctverecek Profil |
#3 · Zasláno: 23. 7. 2009, 23:27:23
Jasny...ale kdyz treba ten clovek vi ze ve strance www.neco.cz/hesla.php jsou hesla k pristupum do DB tak jak tu stranku(soubor) hesla.php zabezpecit? Protoze kdyz napise www.neco.cz/hesla.php zobrazi se mu obsah hesla.php
|
||
habendorf Profil |
#4 · Zasláno: 23. 7. 2009, 23:34:06
ctverecek:
„Protoze kdyz napise www.neco.cz/hesla.php zobrazi se mu obsah hesla.php“ No to snad ne :o) Navíc hesla se obvykle neuchovávají v syrové podobě. |
||
Ghosting Profil |
#5 · Zasláno: 23. 7. 2009, 23:34:08
Musis to ochranit pres PHP, pokud je to script tak si ho nestahne, server ho zpracuje.
|
||
Hitman Profil |
#6 · Zasláno: 23. 7. 2009, 23:36:32 · Upravil/a: Hitman
ctverecek
Pokud tam chceš ty hesla mít napsané, ale nechceš, aby je někdo viděl po zadání adresy, tak v .htacces zakaž spuštění té adresy. Ale s FTP to nemá nic společného, pokud se někdo dostane na FTP, hesla uvidí. // Ghosting Co za dvě minuty nestihneš napsat :-). To je taky možnost, pokud s těmi hesly pracuje na straně severu. |
||
ctverecek Profil |
#7 · Zasláno: 23. 7. 2009, 23:48:25 · Upravil/a: ctverecek
OK dam vam priklad...mam www stranky ktere maji svoji mini administraci. Stranka pro prihlaseni vypada takto:
<? session_start(); //NASTARTOVÁNÍ SESSION if ($_POST[user]=="admin" && $_POST[password]=="admin"){ //POKUD JE SCHODNÉ UŽ.JMÉNO A HESLO $_SESSION[login]=1; //ULOŽÍ DO PROMĚNNÉ $_SESSION[login] HODNOTU 1 } if ($_GET[logout]==1){ //POKUD BUDE V PROMĚNNÉ $_GET[logout] ULOŽENA 1 session_destroy(); //ZRUŠÍ SE SESSION unset($_SESSION[login]); //ZRUŠÍ SE SESSION } if (isset($_SESSION[login])){ //POKUD JE ULOŽENA V $_SESSION[login] HODNOTA, PROVEDE SE PŘIPOJENÍ K DB include "../configuration.php"; //NAINCLUDUJE SOUBOR S PŘÍSTUPOVÝMÍ DATY K DATABÁZI $spojeni=MySQL_Connect("$db_server", "$db_user", "$db_password"); //PŘIPOJENÍ K DB MySQL_Query("set names 'utf8'"); //ZAJISTÍ ABY DATA Z DB BYLI V KÓDOVÁNÍ UTF-8 MySQL_Select_DB("$db_database"); //VÝBĚR DB } ?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta http-equiv="content-type" content="text/html; charset=UTF-8"> <meta name="generator" content="PSPad editor, www.pspad.com">; <title>Administrace</title> <link rel="stylesheet" type="text/css" href="./styladmin.css" /> <link rel="shortcut icon" href="favicon.ico" /> </head> <body> <div id="obsah"> . . . atd. Jak je mozne ze nejaky uzivatel prisel na to ze se tam prihlasi jako admin s heslem admin? Vim ze by se ty hesla treba meli ulozit pomoci MD5tky do nejaky DB ale ted me zajima jak on zjistil to heslo a uz.jm. |
||
habendorf Profil |
#8 · Zasláno: 24. 7. 2009, 00:20:22
ctverecek:
„ale ted me zajima jak on zjistil to heslo a uz.jm.“ Protože admin/admin je první, co každý zkusí. |
||
habendorf Profil |
#9 · Zasláno: 24. 7. 2009, 00:25:27 · Upravil/a: habendorf
ctverecek:
Hele, jsi normální? http://www.proucetnictvi.cz/administrator/admin.php?idcko=kalendar a ještě nám řekneš login/heslo. Na vyučenou jsem ti smazal z kalendáře id=42 a koukej s tím něco rychle udělat, než přijde někdo surovější. |
||
ctverecek Profil |
#10 · Zasláno: 24. 7. 2009, 09:28:08
OMG ale kdybych ti to nerekl tak jak bys na to prisel-jestli bys na to prisel? O to mi jde!
|
||
Mastodont Profil |
#11 · Zasláno: 24. 7. 2009, 09:57:15
Bude prostě zkoušet různé kombinace těch základních jmen a hesel.
|
||
Hitman Profil |
#12 · Zasláno: 24. 7. 2009, 10:38:50
ctverecek
Proč si tam nedáš nějaké normální heslo? Nebo standartně používáš hesla jako: admin, heslo...? |
||
Časová prodleva: 15 let
|
0