Zobacz temat
Zabezpieczenie przed wydobyciem hasla sql
|
|
veto |
Dodany dnia 24.04.2008 14:18:15
|
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36 |
Witam. Mam taki problem, poniewaz nie chce żeby inny admin, bądź ktoś będący na moim koncie mogł dzięki stronom informacyjnym wydobyc passa do mysql. Podaje kod ktory pozwala po wklejeniu do stron informacyjnych wyswietlic dane mysql + haslo w źrodle strony. I pytanie jak temu zapobiec? : PW od moderatora:
Edytowane przez Pieka dnia 24.04.2008 18:14:07 |
|
|
Wścibski Gość |
Dodany dnia 25.12.2024 16:41:17
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
bartek124 |
Dodany dnia 24.04.2008 15:02:28
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
Najprościej będzie nie podawać hasła do swojego profilu.
|
|
|
veto |
Dodany dnia 24.04.2008 15:07:42
|
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36 |
Nie daje nikomu, tylko są tacy ktorzy potrafią się dobrać do mojego konta.. No cms chyab jest dzurawy i błąd jest chyba w editprofile.php - chyba mozna atak xss przeprowadzic. W kazdym razie chce się zabezpieczyc przed wydobyciem passa do mysql z poziomu konta admina jak podalem wyzej. |
|
|
ICEK |
Dodany dnia 24.04.2008 15:09:18
|
Bywalec Postów: 658 Pomógł: 27 Data rejestracji: 22.09.2007 08:29 |
Gdyby cms był dziurawy na pewno już dawno byłoby to zgłoszone
|
|
|
bartek124 |
Dodany dnia 24.04.2008 15:13:36
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
Pewnie, jak sie nie aktualizuje od iluś tam wersji... Najnowsze paczki są bezpieczne, nie da się ich zhaczyć. To Administratorzy otwierają tylną furtkę hakerom swoją bezmyślnością. Już o tym pisałem, nie będę się powtarzał. Poza tym hasło jest hashowane przez md5();, przy względnej kombinacji znaków w haśle nie da się go rozszyfrować. Owszem, są słowniki mające słowo i md5 do nich, dzięki czemu da się proste słowa rozszyfrować. Złóż hasło z liter+cyfr i jesteś bezpieczny. |
|
|
veto |
Dodany dnia 24.04.2008 15:16:27
|
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36 |
Krótko przedstawię moją sytuacje: haslo mialem typu: jht72364jh21as7q4 Wiem co to znaczy rozwalić hash md5... A poza tym nie ma rzeczy idealnych. Z jakiej niby racji mialby się ktoś chwalić, że zna lukę skoro moze ją miec dla siebie i wykorzystywac. Być może się mysle bo to wina serwera, lub ja coś nawaliłem i gdzieś jakieś dane nie są filtrowane bo się ostatnio dużo bawilem lub po prostu dlatego ze to EF... |
|
|
MeTeo |
Dodany dnia 24.04.2008 16:04:02
|
Bywalec Postów: 880 Pomógł: 23 Ostrzeżeń: 2 Data rejestracji: 14.12.2005 19:38 |
Jaki jest sens twoje posta? Przedstawię Ci na przykładzie o co pytasz: "Jak mogę zapobiec kradzieży z mojego domu gdy dałem kluczyki złodziejowi?" Samo administrowanie w sensie istnienia ma na celu udostępnienie wszystkich informacji. Nikt normalny nie udostępnia swojego konta. veto - Racja, tylko profil nie był łatany już jakiś czas a PF ma "zaplecze" duże i gdyby to było tak banalne wyciągnięcia hasła admina, to by już tego nie było. Nie ma rzeczy idealnych ale nie przesadzajmy z wyciąganiem hasła... Ja Ci mogę podać moje hasło zahashowane... Nic Ci to nie da. Bo swoje hasło koduję jeszcze ręcznie na klawiaturze... Nie dasz "kluczyków" - nikt się nie włamie... |
|
|
veto |
Dodany dnia 24.04.2008 17:03:31
|
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36 |
Nie dasz "kluczyków" - nikt się nie włamie... Nie dawałem "kluczyków" - mialem 2 włamy. |
|
|
bartek124 |
Dodany dnia 24.04.2008 17:11:19
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
Heh... Sam pomogłeś chakierom w włamach . Tysiące stron w PHP-Fusion, choćby same Supporty - czy kiedyś ktoś się na nie włamał? Wystarczy mieć głowę na karku i znać podstawy bezpieczeństwa, już zmniejszasz prawdopodobieństwo włamu. Edytowane przez bartek124 dnia 24.04.2008 18:05:32 |
|
|
MeTeo |
Dodany dnia 24.04.2008 17:38:58
|
Bywalec Postów: 880 Pomógł: 23 Ostrzeżeń: 2 Data rejestracji: 14.12.2005 19:38 |
bartek124 - (Charyzjuszowi) Chakierowi jak coś ;P Co do tematu: Najwidoczniej twoje "kluczyki" były bardzo pospolite lub nie aktualizowałeś fusiona... Z resztą, nie sam PF musi być podatny na xss a wtyczki... Swego czasu było odnalezionych sporo wtyczek z błędami... Sorry, mój błąd //bartek124 Edytowane przez bartek124 dnia 24.04.2008 17:46:29 |
|
Przejdź do forum: |