| |
|
|
| | Создал себе сайтик на php, есть авторизация и т.д. Вот подумал, а если кто-то скачает весь сайт и просмотрит скрипты, тогда сможет найти уязвимые места и т.д. В частности, такая дыра...
Есть скрипт авторизации, в скрипте указан пароль и логин, при успешном отождествлении которых с введеными из формы, происходит переход на страницу управления. Кто-то скачал скрипт и увидел эти значения, а потом просто залогинился под ними. Ладно, допустим, решил эту проблему так : не прописывал значения логина и пароля прямо в скрипте авторизации, а сделал там запрос из базы MySQL. Но ведь в самом скрипте есть параметры подключения к базе данных (пароль и юзернэйм). То есть кто-то их узнает и просто выполнит запрос к базе каким-нибудь способом через эти данные, а после получения содержимого полей базы с паролем и логином опять же пройдет авторизацию.
Может, это паранойа, может, каких-то аспектов не понимаю. Разъясните, пожалуйста. Вопрос безопасности очнь важен. | |
| |
|
|
| |
|
|
| |
для: shimi
(04.05.2005 в 19:52)
| | | Хм... А я думал что их нельзя скачать... Ты точно знаешь что их можно скачать? | |
| |
|
|
| |
|
|
| |
для: shimi
(04.05.2005 в 19:52)
| | | При нормально настроенном сервере скрипты скачать нельзя. Сами попробуйте:) | |
| |
|
|
| |
|
|
| |
для: shimi
(04.05.2005 в 19:52)
| | | Уважаемый создатель сайтиков на рнр, как только научитесь скачивать рнр скрипты, будьте любезны, дайте знать и вся электронная коммерция будет мне по жизни приплачивать :) Прежде чем создавать сайты - почитайте, что и где выполняется. | |
| |
|
|
| |
|
|
| |
для: $OMEGA
(04.05.2005 в 21:05)
| | | Значит точно паранойя | |
| |
|
|
| |
|
|
| |
для: TrunK
(04.05.2005 в 21:07)
| | | А ты не думал, что твой комп сломали и "взяли" этот скрипт? Вот у меня к примеру не давно пароли все вытащили :). | |
| |
|
|
| |
|
|
| |
для: $OMEGA
(04.05.2005 в 21:05)
| | | Да, действительно, скрипт выполняется и выдает результат, с этим никто не спорит, но я предполагал немного иное. Скачивание, например, через ftp , когда просто есть доступ в директорию со скриптами. К слову, часто по ссылкам я попадаю не страницы, а на список файлов в директории. Разве никто с таким не сталкивался? | |
| |
|
|
| |
|
|
| |
для: shimi
(04.05.2005 в 22:33)
| | | Но PHP-файлы через браузер всё-равно скачать нельзя, так как они пропускаются обязательно через PHP-интерпретатор и посетителю возвращается лишь результат работы PHP-скрипта. Через FTP-другое дело, но это полный контроль над сайтом, злоумышленику уже не понадобится ваш код, он напишет свой и загрузит его по FTP. | |
| |
|
|
| |
|
|
| |
для: $OMEGA
(04.05.2005 в 21:05)
| | | А я знаю как, но не скажу ибо страшная это тайна способная порушить все устои %) | |
| |
|
|
|
| |
|
|
| |
для: cheops
(04.05.2005 в 22:51)
| | | Предлагаю почитать очень хорошую статью в разделе "статьи", я уверен вы найдете много нового и главное решите вашу проблему :-)
Желаю удачи | |
| |
|
|
| |
|
|
| |
для: Flash5
(04.05.2005 в 22:58)
| | | Это не паранойя. Как было сказано выше, при отсутствии дыр иправильно настроенном сервере скачать нельзя, НО...
1. Уязвимости , например, форума или другого софта могут позволить либо скачать файл, либо просмотреть его содержимое
2. Настройка сервера - одна из возможных ситуаций -когда поломали другой сайт на сервере и добрались до вашей директории.
И еще кучу аналогичных примеров можно привести, так что, к сожалению, не паранойя :( | |
| |
|
|
| |
|
|
| |
для: denvor
(05.05.2005 в 00:33)
| | | Если подходить к делу с позиции уязвимостей, то можно так же в ряде случаев, не только просматривать пароли, закрытую и служебную информацию, но и загружать зловердный код на сайт. Наврное будет справедливо в этой теме указать ссылку на статью http://www.softtime.ru/info/articlephp.php?id_article=35 | |
| |
|
|
| |
|
|
| |
для: cheops
(04.05.2005 в 22:51)
| | | спасибо большое, просвятили чуток | |
| |
|
|
