בעיית אבטחה | כתיבה לתוך קובץ - הוסטס

Labs · 04-01-08, 15:00

אוקיי
לפני ממש כמה דקות אני כנסנ לשרת וכתוב בכמה מקומות 0wn3d
האתר אצלי עובד על אינקלודים אז זה לא היה בעיה לעלות על זה שזה פשוט כתוב בכל סוף קובץ

בכל הקבצים ממש מהקונפיג עד לדף הכי נידח בכל קובץ כתוב בסוף בלי לרדת שורה בלי כלום
0wn3d

יש לי לכל הקצבים הרשאת 777 אוליז ה אישרפ את הדבר הזה?
ואם כן כידוע לי כדי לכתוב לתוך קובץ צריך לפתוח אותו מהשרת גם לדעת את השם שלו וכו'
רב האתר עובד עם HTACCESS ולעלות על שם הקובץ האמיתי זו בעיה לא קטנה ואף בילתי אפשרית

אשמח לתשובה בזמן הקרוב ועצה למהלך הפעולה הבאה שלי איך לבדוק מאיפה וכו' והאם זה הדבר המקסימלי שה"האקר" הזה יכול לעשות

תודה לעוזרים

~~Striker~~ · 04-01-08, 15:05

אם הוא כתב לך בקבצים זה אומר שהוא יכול להריץ PHP על השרת שזה אף פעם לא טוב.

בקיצור תפרט על המערכת שמוןתקנת לך על השרת.

Labs · 04-01-08, 15:10

ציטוט:

נכתב במקור על ידי Striker

אם הוא כתב לך בקבצים זה אומר שהוא יכול להריץ PHP על השרת שזה אף פעם לא טוב.

בקיצור תפרט על המערכת שמוןתקנת לך על השרת.

מערכת שאני בניתי אין משהו שנלקח ממערכת מוכנה
בכל אינפוט שיש באתר יש mysql_real_escape_string
אני איבטחתי את המערכת מכל היבט שיכולתי לחשוב עליו

עכשיו מאיפה אפשר לעשות דבר כזה שאני אוכל לבדוק אולי פיספסתי משהו

**Daniel** · 04-01-08, 15:49

תן קישור לאתר בפרטי.

BlueNosE · 04-01-08, 16:56

ציטוט:

נכתב במקור על ידי FartBoy

מערכת שאני בניתי אין משהו שנלקח ממערכת מוכנה
בכל אינפוט שיש באתר יש mysql_real_escape_string
אני איבטחתי את המערכת מכל היבט שיכולתי לחשוב עליו

עכשיו מאיפה אפשר לעשות דבר כזה שאני אוכל לבדוק אולי פיספסתי משהו

אם תגיד על אילו היבטים בדיוק חשבת אולי נוכל להגיד לך איפה פספסת משהו אם בכלל. תזכור שפריצה יכולה להיות אפילו התחברות לFTP בעזרת איזה BRUTE (אם הסיסמא היא מספרים)...

Labs · 04-01-08, 17:45

ציטוט:

נכתב במקור על ידי BlueNosE

אם תגיד על אילו היבטים בדיוק חשבת אולי נוכל להגיד לך איפה פספסת משהו אם בכלל. תזכור שפריצה יכולה להיות אפילו התחברות לFTP בעזרת איזה BRUTE (אם הסיסמא היא מספרים)...

אם הוא היה פורץ לשרת לא נראה לי הוא היה עובר קובץ קובץךת ומוסיף בול בסוף את אותה מילה שזה יופיע בכמה מקומות באתר בלי קשר לחיים

הייתי יותר מצפה להודעה שחורה עם כתב אדום או משהו

BlueNosE · 04-01-08, 20:11

אממ. הרבה יותר פשוט, אם זה כבר על 777 מספיק קובץ אחד שמסתנן.. ואז הוא יכול להריץ GLOB, לעשות FREAD, FWRITE ונגמר.

04-01-08, 15:00	# 1
Labs חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 גיל: 34 הודעות: 1,500	בעיית אבטחה \| כתיבה לתוך קובץ אוקיי לפני ממש כמה דקות אני כנסנ לשרת וכתוב בכמה מקומות 0wn3d האתר אצלי עובד על אינקלודים אז זה לא היה בעיה לעלות על זה שזה פשוט כתוב בכל סוף קובץ בכל הקבצים ממש מהקונפיג עד לדף הכי נידח בכל קובץ כתוב בסוף בלי לרדת שורה בלי כלום 0wn3d יש לי לכל הקצבים הרשאת 777 אוליז ה אישרפ את הדבר הזה? ואם כן כידוע לי כדי לכתוב לתוך קובץ צריך לפתוח אותו מהשרת גם לדעת את השם שלו וכו' רב האתר עובד עם HTACCESS ולעלות על שם הקובץ האמיתי זו בעיה לא קטנה ואף בילתי אפשרית אשמח לתשובה בזמן הקרוב ועצה למהלך הפעולה הבאה שלי איך לבדוק מאיפה וכו' והאם זה הדבר המקסימלי שה"האקר" הזה יכול לעשות תודה לעוזרים

04-01-08, 20:11	# 7
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	אממ. הרבה יותר פשוט, אם זה כבר על 777 מספיק קובץ אחד שמסתנן.. ואז הוא יכול להריץ GLOB, לעשות FREAD, FWRITE ונגמר. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

04-01-08, 15:05	# 2
~~Striker~~ Permanently Banned מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 812	אם הוא כתב לך בקבצים זה אומר שהוא יכול להריץ PHP על השרת שזה אף פעם לא טוב. בקיצור תפרט על המערכת שמוןתקנת לך על השרת.

04-01-08, 15:49	# 4
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	תן קישור לאתר בפרטי.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)