Autor Zpráva
Galli
Profil *
Ahoj, prosimvas mam takovy dotaz. Mam stránky a tam je nekolik souboru php a co vim tak php je pruzne a da se stim delat strasne moc veci a proto se bojim jestli neni mozne ze nekdo jednoduchyma prikazama od sveho pocitace aniz by potreboval heslo mohl treba zmenit nejaky hodnoty nebo tak. Prominte jestli pisu blbosti ale potrebuju na ne odpovet. Stalo se mi ze ted nedavno sem zasel na stranky a najednou me avast upozornil na nejaky virus JS tak sem se lekl a sel sem na ftp, stahl index a otevrel a koukam na konci za </html> je hrozne dlouhej script kteremu sem sotva rozumel. Okamzite sem cele smazal, zmenil veskera hesla a dal sem tam zalohu. Nevim cim se to stalo, jestli nekdo prolomil heslo a dal to tam nebo jak to nevim. Bojim se aby se to nestalo znova a proto se ptam vas kteri ste v tom zbehli jestli se to muze stat znova. Nebyl infikovan jen jeden soubor ale vic, myslim min. 6. Ten script sem si neulozil nikam, nevedel sem co od nej cekat. A je prosimvas jeste mozny yzneuzit nejak tohohle php :
<?php 
if (isset ($_POST["vlozit"])) {
if (($_POST["jmeno"] != "")&&($_POST["prijmeni"] != "")&&($_POST["email"] != ""))  {
$zakaznik = "Ahoj, 
osoba ".$_POST["jmeno"]." ".$_POST["prijmeni"]." text text text 
text text: ".$_POST["jmeno"]." ".$_POST["prijmeni"]." , ".$_POST["email"]."
text text"; 
Mail ("email", MailInfo, $zakaznik, "From: " );
$fp = FOpen("slozka/soubor.html", "a+");
  fwrite($fp, "<br />");
  fwrite($fp, $_POST["jmeno"]);
  fwrite($fp, $_POST[" "]);
  fwrite($fp, $_POST["prijmeni"]);
  fwrite($fp, "---");
  fwrite($fp, $_POST["email"]);
  fclose($fp);
  echo "<script>window.alert(\"texttexttext.\");</script>";}
else echo "<script>window.alert(\"textetexttext\");</script>";
}


?>
<form action="" method="post">
<b>Jméno:</b><br /><input name="jmeno" type="text"><br>
<b>Příjmení:</b> <br /><input name="prijmeni" type="text" ><br>
<b>Email:</b><br /> <input name="email" type="text" ><br>
<input type="submit" value="Odeslat" name="vlozit">
</form>


Moderátor Majkl578: Vkládej prosím kódy mezi značky [pre] a [/pre] (stačí kliknout na ).
AM_
Profil
- v poslední době viry často vykrádají uložená hesla Total Commanderu a pak na web nahrávají JS viry. na to pozor.
- mail nepřijde nikomu, protože jako příjemce máš "email" to je ale spíš technická než bezpečnostní chyba.
- skript není chráněný žádným heslem, takže ho může použít každý; pro ošetření vstupů z _POST do HTML bys měl použít htmlspecialchars(), ale pokud server nemáš nastavený na zpracování souborů s příponou .html v PHP, tak ti přes tohle tak maximálně někdo ve slozka/soubor.html úplně rozháže výstup té stránky (a teoreticky by tam mohl umístit XSS/XSRF útoky, nevím, jestli je na ně web, kde tohle spouštíš náchylný - jestli je vůbec co ukrást/padělat).

Víc ti z tohohle nevyvěštím, bezpečnost webu není tak jednoduché téma, abys někam dal kus skriptu bez kontextu celého webu a někdo ti důsledně zhodnotil jeho bezpečnost. Raději si o bezpečnosti PHP něco přečti, určitě se dá vygooglit spousta článků, uvidíš, že se jedná většinou o triviality, o kterých je jen potřeba vědět a být na ně připraven.
Galli
Profil *
Jo dekuju, ja nepoužívam comander ale normal exlorer pro přistup na ftp. Ja sem misto emailu napsal "email" jen z duvodu soukromi:) A tohle je takovy scriptik do ktereho lidi napisou sve jmeno a prijmeni a pak mi prijde na email to ze to nekdo vyplnil a kdo a zaroven se to ulozi do souboru html ktery je prazdny a tam se ty jmena furt pridavaj, v prohlizeci to vypada jako normalni stranka html kdyz to pak kontroluju ten seznam:-);) Myslel sem jestli se pomoci tohoto scriptu s ukladanim da ulozit i nebezpecnejsi veci akorat do jineho souboru jelikoz ten script byl jenom vlozenej do souboru nakonec presne jak to ten script ma delat stemi jmeny:-(
Galli
Profil *
oprava: ...jelikoz ten virus byl jenom vlozenej.....
AM_
Profil
jméno souboru, kam se to uloží, ovlivnit nelze, ale pokud se ti i html soubory zpracovávají jako php (nepravděpodobné leč občas to tak je), může si tam uložit a spustit libovolný PHP kód.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: