|
[Grafika]
[WebTip]
[Fotografování]
[Galerie]
[MujMac]
[Printing]
|
|||||||||
|
 |
|||||||||
 |
||||||||||
|
|
|
 |
|
||||||
 |
|
|
|
 |
||||||
|
Diskuzní forum: PhpTéma diskuze: Skriptovací jazyk nejen pro web. Dotazy na nastavení serverů a mod_rewrite směrujte do fóra Webservery.Tip: nemáte rádi v textu smajlíky? Ruší vaše zdrojové kody? Vypněte si je! (Moje nastavení / Nastavení soukromí) Kradení proměnných z PHP
Vloženo uživatelem: Neregistrovaný uživatel: podpis1 (IP uloženo)
Datum: 02. 02. 2010 14:56
Dostal jsem strah z opensource systému QUICK.CMS - heslo je uloženo v souboru PHP.
Je možné, že by se mi někdo - kdo ten systém zná a zná i umístění proměnné prostě nějak řekl get-příkaz a dostal její hodnotu? (např. přes příkazový řádek?) Re: Kradeni promennych z PHP
Vloženo uživatelem: spaze - uživatel již zaslal 288 příspěvků (IP uloženo)
Datum: 02. 02. 2010 16:40
Cau, 2.2.2010 16:40 odpovídám na to, co podpis1 napsal(a) 2.2.2010 14:56: > Je možné, že by se mi někdo - kdo ten systém zná a zná i umístění > proměnné prostě nějak řekl get-příkaz a dostal její hodnotu? (např. přes příkazový řádek?) Jak si predstavujes, ze by to udelal? -- spaze@expl0!ted.cz * Get Firefox. Get Opera. Get Laid. Příspěvek zaslán emailem Re: Kradeni promennych z PHP
Vloženo uživatelem: vit.peprnicek (IP uloženo)
Datum: 02. 02. 2010 16:55
QUICK.CMS neznám ale aby to šlo musela by být v tom systému chyba, nebo zadní dvířka co by to umožnily. třeba: if ($_REQUEST['ukaz']) echo $$_REQUEST['ukaz'] podpis1 napsal(a): > Dostal jsem strah z opensource systému QUICK.CMS - heslo je uloženo v souboru PHP. > Je možné, že by se mi někdo - kdo ten systém zná a zná i umístění proměnné prostě nějak řekl get-příkaz a dostal její hodnotu? (např. přes příkazový řádek?) > Příspěvek zaslán emailem Re: Kradeni promennych z PHP
Vloženo uživatelem: Stefano1981 - uživatel již zaslal 6 příspěvků (IP uloženo)
Datum: 04. 02. 2010 21:47
> Dostal jsem strah z opensource systému QUICK.CMS - heslo je uloženo v souboru PHP. > Je možné, že by se mi někdo - kdo ten systém zná a zná i umístění > proměnné prostě nějak řekl get-příkaz a dostal její hodnotu? (např. přes příkazový řádek?) Je to heslo v surovom stave (citatelne) alebo je pouzita nejaka hash, salt? Ak je heslo zahashovane a osolene tak je to jedno ci je v databaze alebo v subore. Ak je heslo surovom stave tak je to dalsi dovod preco NEpouzivat quick cms Příspěvek zaslán emailem Re: Kradeni promennych z PHP
Vloženo uživatelem: marek.sudak - uživatel již zaslal 2 příspěvků (IP uloženo)
Datum: 04. 02. 2010 23:52
> Dostal jsem strah z opensource systému QUICK.CMS - heslo je uloženo v souboru PHP. > Je možné, že by se mi někdo - kdo ten systém zná a zná i umístění proměnné prostě nějak řekl get-příkaz a dostal její hodnotu? (např. přes příkazový řádek?) > Obecně to problém je - heslo by mělo být jednosměrně zašifrované, kdy se při autentizaci porovnává pouze otisk hesla - typicky se jedná o použití hašovací funkce sha1(). Na druhou stranu, nic jako "get-příkaz" bez přímého přístupu k filesystému (příkazová řádka) neexistuje. A ve chvíli, kdy útočník tu příkazovou řádku má, tak už jste stejně v háji.. Akorát pro vás uložením hesla v plain textu vzniká riziko, že by na serveru např. mohlo spadnout PHP a server by pak posílal klientovi soubory v textové podobě - pak lze snadno přečíst jakýkoliv soubor. Marek Šudák Příspěvek zaslán emailem Toto fórum je provozováno také jako emailová konference s e-mailovou adresou php [a] builder.cz. Toto je neredigovaná a nemoderovaná diskuse čtenářů serveru Builder.cz. Redakce ani provozovatel serveru za obsah jednotlivých příspěvků nenese zodpovědnost. |
info@builder.cz
Vydává Grafika Publishing, s.r.o.
Copyright (c) 1997-2005 Všechna práva vyhrazena
Pro diskuzní fóra využíváme software z phorum.org