Pokaż wyniki 1 do 10 z 10

Temat: php fusion - niezabezpieczone ;] ;]

  1. #1
    Zarejestrowany
    Feb 2009
    Postów
    43

    Domyślnie php fusion - niezabezpieczone ;] ;]

    Witam, mam sobie niezabezpieczone php fusion 6 i wiem że można się włamać za pomocą tabeli users? Jakiś kod sql do tej tabeli? Otóż znam inne sposoby, ale jakoś nie podchodzą mi... I jak zabezpieczyć się przed tym haknięciem z tabeli users? Jakoś nie mogłem wygooglować hacka za pomocą tej tabeli?! Pozdro!

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    Cytat Napisał alarm Zobacz post
    Witam, mam sobie niezabezpieczone php fusion 6 i wiem że można się włamać za pomocą tabeli users?
    ??????????
    Cytat Napisał alarm Zobacz post
    Jakiś kod sql do tej tabeli?
    Kod:
    select * from users
    //z serii 'jakie pytanie, taka odpowiedz'
    proponuje zapoznac sie z tematem, dopiero pozniej pisac na forum.
    War, war never changes.

  3. #3
    Zarejestrowany
    Feb 2009
    Postów
    43

    Domyślnie

    Otóz miałem hacka na niezabezpieczone fusion i gościu poinformował mnie że zrobił to przez tabele users...? Potem wstawił mi jakiś plik z users i tam były loginy użytkowników... Stronka i tak nie miała przyszłości ale chcę wiedzieć jak to zrobił...? I tak już żadne strona nie stoi na php fusion 6 to możecie mi coś pomóc... Żeby wiedzieć jak się zabezpieczyć trzeba poznać jak atakuje ?... Pozdro '] ']

  4. #4
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    Cytat Napisał alarm Zobacz post
    Otóz miałem hacka na niezabezpieczone fusion i gościu poinformował mnie że zrobił to przez tabele users...? Potem wstawił mi jakiś plik z users i tam były loginy użytkowników... Stronka i tak nie miała przyszłości ale chcę wiedzieć jak to zrobił...? I tak już żadne strona nie stoi na php fusion 6 to możecie mi coś pomóc... Żeby wiedzieć jak się zabezpieczyć trzeba poznać jak atakuje ?... Pozdro '] ']
    nie...
    trzeba bylo instalowac poprawki na cms i pilnowac swojego hasla.
    War, war never changes.

  5. #5
    Zarejestrowany
    Feb 2009
    Postów
    43

    Domyślnie

    pilnowac swojego hasla.
    Hasło miałem mocne i nikomu nie podawałem... Powiesz jak wyciągnąć hasła z tabeli users? Pewnie są w md5?

    Jaka tabela odpowiada za hasło? Bo za login odpowiada users a za hasło? w php fusion?
    Ostatnio edytowane przez alarm : 12-03-2009 - 20:18

  6. #6
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    Cytat Napisał alarm Zobacz post
    Powiesz jak wyciągnąć hasła z tabeli users? Pewnie są w md5?

    Jaka tabela odpowiada za hasło? Bo za login odpowiada users a za hasło? w php fusion?
    tak, pewnie sa w md5. w users sa rozne pierdoly takie jak login, haslo, email, data rejestracji etc
    Cytat Napisał alarm Zobacz post
    Hasło miałem mocne i nikomu nie podawałem...
    nie ma to znaczenia, gdyz mogl po prostu odczytac config bazy od strony serwera.

    nie dostaniesz informacji na temat wyciagania hasel, tu sie trolli nie karmi
    War, war never changes.

  7. #7
    Zarejestrowany
    Feb 2009
    Postów
    43

    Domyślnie

    users sa rozne pierdoly takie jak login, haslo,
    Właśnie tak to zrobił, bo potem pobrałem ten plik users i to właśnie było... Tylko tam sa hasła w md5 a próbowałem je odczytać. (chciałem sprawdzić) to się nie dało ;[ znasz jakieś dobre łamacze?

    PS: Jakbyś mógł powiedzieć to powiedz jak się zalogować z poziomu paska adresu bo wpisuje:
    www.xxx.pl/setuser.php?user=login
    A hasło jaka ma tabele? Login to "user" a hasło? W php fusion 6
    Ostatnio edytowane przez alarm : 12-04-2009 - 13:16

  8. #8
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    Cytat Napisał alarm Zobacz post
    PS: Jakbyś mógł powiedzieć to powiedz jak się zalogować z poziomu paska adresu bo wpisuje:
    www.xxx.pl/setuser.php?user=login
    A hasło jaka ma tabele? Login to "user" a hasło? W php fusion 6

    w php fusion 6 nie ma takich bledow, zebys mogl sie zalogowac jednym getem...
    prawie nigdzie nie ma takich bledow.
    naprawde, to nie jest takie proste, odpusc sobie..
    War, war never changes.

  9. #9
    Zarejestrowany
    Feb 2009
    Postów
    43

    Domyślnie

    Ale jak chce się zalogowac znająć hasło to też nie da rady?

  10. #10
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Cytat Napisał alarm Zobacz post
    PS: Jakbyś mógł powiedzieć to powiedz jak się zalogować z poziomu paska adresu bo wpisuje:
    www.xxx.pl/setuser.php?user=login
    A hasło jaka ma tabele? Login to "user" a hasło? W php fusion 6
    To jakiego klucza z GET'a oczekuje skrypt ma niewiele wspólnego z nazwą tabeli bazy danych.

    Ponadto logowanie przez GET nie jest specjalnie często spotykane, no chyba że aplikacja ma z założenia obsługiwać taką funkcjonalność (np. phpMyAdmin), najczęsciej jest wykorzystywany POST, POST'a nie zrobisz "z paska adresu".
    Kolejne ponadto to zabezpieczenia przed XSRF, coraz częsciej skrypty dołączają do formularza specjalne pole zabezpieczające przed wygenerowaniem zapytania przez agresora.

    Ale odpowiadając na Twoje pytanie, spróbuj któregoś z kluczy: pass, passw, password :-]
    światło mądrości oświetla drogę z nikąd do nikąd

Podobne wątki

  1. [php]humory przegladarki? php? systemu?
    By gogulas in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 1
    Autor: 03-27-2008, 08:46
  2. php-fusion 6.01.6 a ew. XSS
    By gogulas in forum Security
    Odpowiedzi: 0
    Autor: 09-25-2007, 22:40
  3. Odtwarzacz muzyczki w php fusion
    By faD in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 5
    Autor: 06-06-2007, 19:54
  4. php
    By ble34 in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 8
    Autor: 03-08-2007, 22:36
  5. Krytyczny błąd w Extreme-fusion!
    By ble34 in forum Newbie - dla początkujących!
    Odpowiedzi: 0
    Autor: 02-08-2007, 22:03

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj