Hacknutí našich webovek

[bless]

vzdyt je tam jenom tohle?
tak jak muze vznikat to co pises? jsem asi pekna lama - prosim o vysvetleni
include("./pages/".$strana.".php");

[bless]

vzdyt je tam jenom tohle?
tak jak muze vznikat to co pises? jsem asi pekna lama - prosim o vysvetleni
include("./pages/".$strana.".php");

aha uz to chapu jesm idiot - ono to tam vlozi stranku kde je znovu napsaano prave toto include("./pages/".$strana.".php"); tak se to vklada do nekonecna

[Fox!MURDER]

aha uz to chapu jesm idiot - ono to tam vlozi stranku kde je znovu napsaano prave toto include("./pages/".$strana.".php"); tak se to vklada do nekonecna

jj. chytra hlavicka


vpodstate staci jen tu injekci spravne ocurat, nebo tam najit jinou podobnou chybu ...

nejjednodussi reseni tohohle problemu je udelat si jednoduchej switch

PHP kód:

switch($strana)
{
case 'jednastranka':
 include ('jednastranka.php'); break;
case 'druhastranka':
 include('druhastranka.php); break;
default:
 die("WTF?");
} 


je to pracnejsi, nez jak to mas ted, ale nejde to nijak ocurat


jestli ti to hackli zrovna srkz tohle ti nereknu, vzhledem k tomu, ze tam je tohle, bude asi celej kod dost prasarna, takze tech chyb a bezp. der tam 100%ne bude vicero ...

[bless]

jj. chytra hlavicka


vpodstate staci jen tu injekci spravne ocurat, nebo tam najit jinou podobnou chybu ...

nejjednodussi reseni tohohle problemu je udelat si jednoduchej switch

PHP kód:

switch($strana)
{
case 'jednastranka':
 include ('jednastranka.php'); break;
case 'druhastranka':
 include('druhastranka.php); break;
default:
 die("WTF?");
} 


je to pracnejsi, nez jak to mas ted, ale nejde to nijak ocurat


jestli ti to hackli zrovna srkz tohle ti nereknu, vzhledem k tomu, ze tam je tohle, bude asi celej kod dost prasarna, takze tech chyb a bezp. der tam 100%ne bude vicero ...

Moje prvni stranky v PHP - je to videt. vic der tam byt nemuze, tam snad jinek kus zdrojoveho kodu neni, bejvala tam kniha, ale uz je snad smazana.

btw ne ze bych to nejak resil na zbylych strankach.

Mnoo tem strankam se presne v jeden den vsem dopsak kus toho kodu s tim vyskakovanim ve slozce pages - vsechny ostani zustaly nedotcene. kazdopadne dikes

[Rainbow]

jj. chytra hlavicka


vpodstate staci jen tu injekci spravne ocurat, nebo tam najit jinou podobnou chybu ...

nejjednodussi reseni tohohle problemu je udelat si jednoduchej switch

PHP kód:

switch($strana)
{
case 'jednastranka':
 include ('jednastranka.php'); break;
case 'druhastranka':
 include('druhastranka.php); break;
default:
 die("WTF?");
} 


Namiesto tohoto pouzivam:

PHP kód:

$allowed = array('nieco1', 'nieco2', 'nieco3');
if (!in_array($co, $allowed))
        $co = 'nieco1'; 


a potom

PHP kód:

readfile('texts/'.$co.'.html'); 


alebo

PHP kód:

include_once('inc/'.$co.'.php'); 


[bless]

Vysvětlení jak se dostali k heslu:

Moje přítulka má login(právě ten inkriminovaný), takže jsme přišli na to, že to bylo získáno z jejího počítače. Nicméně si nebyla vědoma, že by lezla někam nebo chytla nějaký spyware. Až náhle byl oběven nějakej trojskej koníček , kterým ji nakazil její bratr, kterému se také dostali na web už dávno. Pak se ještě jako vrchol na webovky dal skriptík...

Mnoo a tenhle skript odesílá ten soubor jak jsou v něm uložené ftp údaje z totalcommandera.

[Rainbow]

Cize klasika - najvacsi bezpecnostny problem Linux (a unix) serverov su windows, z ktorych sa tam mnohi ludia pripajaju.

[PiT]

Cize klasika - najvacsi bezpecnostny problem Linux (a unix) serverov su windows, z ktorych sa tam mnohi ludia pripajaju.

jj, z toho dovodu vsetky hesla, ktore mam pod XP (vyjma putty/winscp pgp klucov) radsej pracne vypisujem...

[Smitka]

Ha pozde..

No tak kdyz si to prepises, tak ti vyjde
./pages/../index.php
takze se to koukne do pages, vyleze o slozku vejs, includuje index.php, ktery se koukne do pages, vyleze o slozku vejs, includuje index.php, ktery se koukne do pages, vyleze o slozku vejs,...