Pokaż wyniki 1 do 3 z 3

Temat: Skromne Pytanie :D

  1. #1
    Zarejestrowany
    Mar 2007
    Postów
    1

    Domyślnie Skromne Pytanie :D

    Witam.
    Jestem tutaj nowy i mam skromne pytanko


    Dziwi mnie jeden sposób na włamywanie na CMS (jPortal itp)

    Kiedyś interesowałem sie Webmasteringiem i zaczynając instalowałem właśnie CMS'y i była tam opcja np upload fotek na serwer
    Lub np upload mp3 na serwer

    Czy jest możliwość np zuploadowania jakies programu np keyloggera na serwer aby pokazał hasło ?

  2. #2
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    hih nio i własnie cała sztuka w tym zeby się zabezpieczyć - czyli określić jakie pliki mogą zostać upladowane a jakie nie...

    jeśli sie nie zabezpieczysz to ktoś ci wrzuci exploit - dotego kawałek kodu w php który go odpali i nieszczęście gotowe...

    poczytaj o atakach xss i exploitach.......
    przejżyj jakieś bugtraq to zobaczysz gdzie są znane już dziury...
    jeśli chcesz coś więcej na ten temat wiedzieć warto tez by zajrzeć do jakiejś książki o apache i php
    ogólnie rozlgły temat.........
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Pamietaj o jendym... w normalnych warunkach serwer przyjmujac pliki nie wykonuje ich... Problem moze sie pojawic jesli obszar uploadu jest dostepny bezposrednio w sciezce strony gdzies.

    Na przyklad wrzucamy przez strone pliki do katalogu /upload i jak podasz www.strona.pl/upload to widzisz te pliki...
    Jesli jest to np serwer na windows'ie i traktuje pliki .exe jako skrypty CGI i zezwala na uruchamianie programow w tym katalogu, to admin powinien zostas wykastrowany natychmiast! W przypadku Unix'ow jest podobnie ale poza nazwa ktora pasuje do ustawien serwera aby byc traktowana jako CGI plik musi miec jeszcze odpowiednie uprawnienia aby dalo sie go uruchomic a to juz wymaga zdecydowanie powaznego bledu (swiadomego z reszta) w skrypcie robiacym upload.

    Odpowiedz na ogolne oytanie czy da sie podeslac keylogger'a aby podal haslo na serwerku - NIE DA SIE (podeslac fizycznie tak ale to koniec historii) dopuki autor strony nie potwornie ciala o adminie ktory tego nie przewidzial nie wspominajac. Nietstety w wielu przypadkach sie da... bo strona ma ulatwienia dla uzytkownika obslugujacego ja a admin jest slepy i pozwala na takie zagrania (hehe eMCe - gdzie to bylo? Pozdrowienia dla Arka!)...

Podobne wątki

  1. pytanie o galerie
    By ironwall in forum HTML/DHTML/XHTML
    Odpowiedzi: 6
    Autor: 02-22-2007, 09:20
  2. Pytanie
    By michał22 in forum Windows
    Odpowiedzi: 3
    Autor: 01-28-2007, 13:28
  3. PyTaNiE
    By Andradiel in forum Hacking
    Odpowiedzi: 3
    Autor: 01-23-2007, 20:20
  4. [skrypt] - pytanie
    By Error in forum Newbie - dla początkujących!
    Odpowiedzi: 10
    Autor: 12-27-2006, 13:25

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52