Pokaż wyniki 1 do 9 z 9

Temat: [PHP]bezpieczeństwo stron www

  1. #1
    Zarejestrowany
    May 2008
    Postów
    321

    Domyślnie [PHP]bezpieczeństwo stron www

    witam i mam pytanie ponieważ mam taki kłopot bo jak jest strona i jest formularz to przecież w formularzu podaje się dokładną nazwe pliku do którego mają zostać przesłane dane a jeżeli one mają trafić do bazy danych to w tym pliku jest hasło i login do tej bazy więc tutaj moje pytanie czy istnieje jakakolwiek możliwość zabezpieczenia się przed odczytaniem kodu tego pliku z hasłem, loginem itd
    00110100 01101110 01100100 01110010 00110001 01110101
    How To Become A Hacker
    Polskie forum programistów java

    Ubuntu - staroafrykańskie słowo które po przetłumaczeniu brzmi "nie umiem zainstalować i skonfigurować debiana"

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Mozna...

    1. Plik trzymac poza DocumentRoot tak aby nie byl dostepny z poziomu WWW
    2. W .htaccess ustawiasz sekcje mniej wiecej taka (pisze z glowy - mozliwe ze gdziej bedzie blad - sprawdzic w dokumentacji przed uzyciem):
    Kod:
    <Files plik_z_haslem.txt>
      Order allow,deny
      Deny from all
    </Files>
    3. Jesli strona w PHP to plik tez zrobic jako .php - nawet jesli juz ktos by przeszed pierwsze 2 zabezpieczenia (jakos) to jesli odczyta plik z poziomu WWW nie zobaczy nic... bo plik jest w stylu
    Kod:
    <?
    $db_name="baza";
    $db_user="user";
    $db_pass="password";
    ?>
    wiec gdy sie wykona... nic nie wyswietli

    Oczywiscie zawsze mozna "od duszy strony" czyli od systemu plikow - jesli jakas aplikacja jest dziurafa i pozwala na local file disclosure wtedy za jej pomoca bedzie mozna odczytac zawartosc pliku jako kod zrodlowy...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    May 2008
    Postów
    321

    Domyślnie

    Cytat Napisał TQM Zobacz post
    3. Jesli strona w PHP to plik tez zrobic jako .php - nawet jesli juz ktos by przeszed pierwsze 2 zabezpieczenia (jakos) to jesli odczyta plik z poziomu WWW nie zobaczy nic... bo plik jest w stylu
    Kod:
    <?
    $db_name="baza";
    $db_user="user";
    $db_pass="password";
    ?>
    wiec gdy sie wykona... nic nie wyswietli

    Oczywiscie zawsze mozna "od duszy strony" czyli od systemu plikow - jesli jakas aplikacja jest dziurafa i pozwala na local file disclosure wtedy za jej pomoca bedzie mozna odczytac zawartosc pliku jako kod zrodlowy...
    no więc jeśli chodzi o to że się nic nie wyświetli to jest to bardzo łatwo ściągnąć np takim flash getem i tu moje pytanie jak sie zabezpieczyć przed czymś takim
    00110100 01101110 01100100 01110010 00110001 01110101
    How To Become A Hacker
    Polskie forum programistów java

    Ubuntu - staroafrykańskie słowo które po przetłumaczeniu brzmi "nie umiem zainstalować i skonfigurować debiana"

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Pierwsze slysze aby plik .php dalo sie sciagnac wget'em albo innym downloaderem (z serwera ktory obsluguje php) i zobaczyc kod...
    Przeciez cala prostota i skutecznosc w tym ze to kod PHP ktory zostanie wykonany przez serwer w momencie "pobierania" i jedyne co wget zobaczy to plik bez jakiegokolwiek tekstu.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Avatar elceef
    elceef jest offline Proces bezczynności
    Zarejestrowany
    Apr 2008
    Postów
    200

    Domyślnie

    Cytat Napisał TQM Zobacz post
    3. Jesli strona w PHP to plik tez zrobic jako .php - nawet jesli juz ktos by przeszed pierwsze 2 zabezpieczenia (jakos) to jesli odczyta plik z poziomu WWW nie zobaczy nic... bo plik jest w stylu
    Kod:
    <?
    $db_name="baza";
    $db_user="user";
    $db_pass="password";
    ?>
    wiec gdy sie wykona... nic nie wyswietli
    Przy założeniu, że PHP skonfigurowany jest z short_open_tag = On. Dlatego lepiej otwierać przez pełny tag.

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Tak - to sie zgadza... dlatego przed kodem napisalem ze jest to przyklad
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    May 2008
    Postów
    321

    Domyślnie

    Cytat Napisał TQM Zobacz post
    Tak - to sie zgadza... dlatego przed kodem napisalem ze jest to przyklad
    aha już rozumiem czyli flashget działa tak że na początku tak jakby musi wyświetlić tą stronę a potem dopiero może zacząć pobierać jeśli jest w PHP
    dobrze to zrozumiałem
    00110100 01101110 01100100 01110010 00110001 01110101
    How To Become A Hacker
    Polskie forum programistów java

    Ubuntu - staroafrykańskie słowo które po przetłumaczeniu brzmi "nie umiem zainstalować i skonfigurować debiana"

  8. #8
    Avatar Ormi
    Ormi jest offline %x-%x-%x-%n
    Zarejestrowany
    Jul 2008
    Skąd
    Za twoimi plecami
    Postów
    351

    Domyślnie

    Myślę, że jest tak, że flashget pobiera to, co w wyniku prześle mu serwer, z którego plik pobiera. Jeśli jest to obrazek, to ściągnie normalny obrazek, bo to wyśle mu serwer. A jak jest to plik.php, to serwer najpierw sobie przetworzy, to co jest w plik.php i dopiero wynik tego prześle do ciebie. Dlatego nie pobierzesz samego pliku z jego kodem źródłowym
    Black Coders | Hacking, Kernel, Linux, Operating Systems, Programming
    I otworzyła studnię Czeluści,
    a dym się uniósł ze studni jak dym z wielkiego pieca,
    i od dymu zaćmiło się słońce i powietrze.
    A z dymu wyszła szarańcza na ziemię,
    i dano jej moc jaką mają ziemskie skorpiony.
    (...)
    I dano jej nakaz aby nie zabijała,
    lecz aby przez pięć miesięcy cierpieli katusze...

  9. #9
    Zarejestrowany
    May 2008
    Postów
    321

    Domyślnie

    ok dziękuje wszystkim za odpowiedzi bardzo mi to pomogło
    00110100 01101110 01100100 01110010 00110001 01110101
    How To Become A Hacker
    Polskie forum programistów java

    Ubuntu - staroafrykańskie słowo które po przetłumaczeniu brzmi "nie umiem zainstalować i skonfigurować debiana"

Podobne wątki

  1. [PHP] Bezpieczeństwo engine'u blogowego
    By Isadil in forum Hacking
    Odpowiedzi: 16
    Autor: 08-20-2008, 10:25
  2. Wartości stron WWW
    By lukasz6547 in forum Off Topic
    Odpowiedzi: 7
    Autor: 07-06-2008, 10:57
  3. sprawdzanie stron www
    By promenada in forum Newbie - dla początkujących!
    Odpowiedzi: 2
    Autor: 06-09-2008, 13:08
  4. Hackowanie Stron WWW
    By Dranzes in forum Newbie - dla początkujących!
    Odpowiedzi: 5
    Autor: 06-05-2008, 15:14
  5. Nauka zakładania stron www.
    By DiabloII in forum Newbie - dla początkujących!
    Odpowiedzi: 5
    Autor: 06-10-2007, 18:48

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52