| Autor | Zpráva | ||
|---|---|---|---|
| drvaca Profil |
#1 · Zasláno: 12. 12. 2010, 19:36:34
Zdravím,
zajímalo by mě, jak se dá získat PHP kód nějaké cizí webové stránky. Dneska jsem trochu googlil, a narazil jsem na zdrojáky jedné mojí webové stránky. Tak si s tím lámu hlavu, jak to sakra mohl někdo získat? Díky |
||
| Taps Profil |
#2 · Zasláno: 12. 12. 2010, 19:40:16
drvaca:
php kod cizí stránky nelze získat z klasického prohlížeče. Kod můžeš získat např. připojením na ftp |
||
| Keeehi Profil |
#3 · Zasláno: 12. 12. 2010, 20:16:41
drvaca:
Ve správně napsaných scriptech to není možné. Pokud se tam ale nalézají bezpečnostní chyby, může se někdo ke zdrojovým kódům dostat. |
||
| Radovan789 Profil * |
#4 · Zasláno: 12. 12. 2010, 20:39:26
Nevím jak je to možné, ale jednou za život se mi stalo že mě před načtením stránky vyskočil download php kódu (celé stránky). Klikl jsem na storno protože jsem nechápal pak jsem odkaz navštívil znovu a stránka se normálně načetla. Ted nevím jestli je to chyba hostingu nebo samotných stránek.
|
||
| drvaca Profil |
#5 · Zasláno: 12. 12. 2010, 20:40:52
Tak jsem si tam nahrál Visx Shell a už je mi to jasné, vzhledem k tomu že na stejném serveru je filehosting. ..
|
||
| Davex Profil |
#6 · Zasláno: 12. 12. 2010, 21:23:17
Radovan789:
Ano, ve vyjímečných případech (např. pří přetížení webserveru) se to může stát. Proto by všechny přihlašovací údaje do DB apod. měly být v oddělených skriptech se zakázaným přístupem přes HTTP a nejlépe mimo kořen webu. |
||
| DoubleThink Profil * |
#7 · Zasláno: 12. 12. 2010, 21:44:12
Davex:
„např. pří přetížení webserveru“ Přetížení HTTP server řeší a zvládá - v krajních případech ukončováním spojení s klienty. Nikdy by nemělo dojít odesílání nezpracovaných skriptů, pokud server nenastavila banda pitomců. A to bude možná případ WZ, kde (a nikde jinde) jsem tohle už párkrát zažil. |
||
| Davex Profil |
#8 · Zasláno: 12. 12. 2010, 21:55:43
DoubleThink:
Stalo se mi to u dvou komerčních hostingů. U jednoho z nich i na homepage s přístupovými údaji do databáze. Nevím čím to bylo, protože problémy tohoto druhu se špatně vyvolávají - je to taková duchařina. |
||
| Keeehi Profil |
#9 · Zasláno: 12. 12. 2010, 21:58:52 · Upravil/a: Keeehi
Mě se to samé stalo u stránek města Frankfurt nad Mohanem. Použil jsem jejich vyhledávání a stáhl se mi celý jejich vyhledávací script (i s údaji k DB ;-) ). Co však stálo za tímto chováním se mi nepodařilo zjistit.
|
||
| Radovan789 Profil * |
#10 · Zasláno: 12. 12. 2010, 21:59:09
Davex:
A může za to špatně navržené jádro Apache ? Na to neexistuje řešení jak tomu zabránít po softwarové stránce ? Je to problém jenom PHP nebo i ASP.NET ? |
||
| Davex Profil |
#11 · Zasláno: 12. 12. 2010, 22:12:13
Radovan789:
Myslím, že samotné jádro za to nemůže. On je Apache dost složitý ekosystém. Když občas vidím, jaké triviální chyby jsou v PHP, tak bych víc věřil spolehlivosti Apache. |
||
| Tori Profil |
#12 · Zasláno: 13. 12. 2010, 08:05:09
V čem může být rozdíl, pokud stránka nabídne ke stažení prázdný soubor php. To znamená, že to server alespoň částečně zpracoval, anebo se projeví dvě nezávislé věci (stažení souboru místo zpracování + ochrana před odesláním .php souborů)? Jeden čas se mi to poměrně dost stávalo na jednom phpBB fóru.
|
||
| Chamurappi Profil |
#13 · Zasláno: 13. 12. 2010, 11:38:16
Reaguji na Radovana789:
„Je to problém jenom PHP nebo i ASP.NET ?“ ASP.NET umí návštěvníkovi ukázat celý zdroják, pokud nastane nějaká chyba a zapomeneš vypnout debugování :-) Ale pokud házíš na server jen zkompilované DLL, tak to nehrozí, protože tam prostě ten zdroják není… |
||
|
Časová prodleva: 13 let
|
|||
0