ForumCała strona

Nawigacja

Aktualnie online

Gości online: 12

Użytkowników online: 0

Łącznie użytkowników: 25,393
Najnowszy użytkownik: Assassin

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

JazOOn
06.12.2024 23:45:46
Amen

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

Polski Oficjalny Support PHP-Fusion » Podstawowe zagadnienia związane z PHP-Fusion » Przedszkole
 Drukuj temat
Zabezpieczenie przed wydobyciem hasla sql
veto
Witam. Mam taki problem, poniewaz nie chce żeby inny admin, bądź ktoś będący na moim koncie mogł dzięki stronom informacyjnym wydobyc passa do mysql. Podaje kod ktory pozwala po wklejeniu do stron informacyjnych wyswietlic dane mysql + haslo w źrodle strony. I pytanie jak temu zapobiec? :

Pobierz kod źródłowy  Rozwiń Kod źródłowy



PW od moderatora:
  1. Przeniesienie tematu - bartek124 24.04 - 15:03

Edytowane przez Pieka dnia 24.04.2008 18:14:07
 
Wścibski Gość
Dodany dnia 25.12.2024 16:41:17
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
bartek124
Najprościej będzie nie podawać hasła do swojego profilu.
userbar_bartek124_net.png mw.gif Nie pomagam na komunikatorach oraz PW!
 
www.bartek124.net
veto
Nie daje nikomu, tylko są tacy ktorzy potrafią się dobrać do mojego konta.. No cms chyab jest dzurawy i błąd jest chyba w editprofile.php - chyba mozna atak xss przeprowadzic.

W kazdym razie chce się zabezpieczyc przed wydobyciem passa do mysql z poziomu konta admina jak podalem wyzej.
 
ICEK
Gdyby cms był dziurawy na pewno już dawno byłoby to zgłoszone Smile
 
www.modlinski.net
bartek124
Pewnie, jak sie nie aktualizuje od iluś tam wersji...

Najnowsze paczki są bezpieczne, nie da się ich zhaczyć. To Administratorzy otwierają tylną furtkę hakerom swoją bezmyślnością. Już o tym pisałem, nie będę się powtarzał.

Poza tym hasło jest hashowane przez md5();, przy względnej kombinacji znaków w haśle nie da się go rozszyfrować. Owszem, są słowniki mające słowo i md5 do nich, dzięki czemu da się proste słowa rozszyfrować. Złóż hasło z liter+cyfr i jesteś bezpieczny.
userbar_bartek124_net.png mw.gif Nie pomagam na komunikatorach oraz PW!
 
www.bartek124.net
veto
Krótko przedstawię moją sytuacje: haslo mialem typu: jht72364jh21as7q4

Wiem co to znaczy rozwalić hash md5... A poza tym nie ma rzeczy idealnych. Z jakiej niby racji mialby się ktoś chwalić, że zna lukę skoro moze ją miec dla siebie i wykorzystywac.

Być może się mysle bo to wina serwera, lub ja coś nawaliłem i gdzieś jakieś dane nie są filtrowane bo się ostatnio dużo bawilem lub po prostu dlatego ze to EF...
 
MeTeo
Jaki jest sens twoje posta? Przedstawię Ci na przykładzie o co pytasz:

"Jak mogę zapobiec kradzieży z mojego domu gdy dałem kluczyki złodziejowi?"

Samo administrowanie w sensie istnienia ma na celu udostępnienie wszystkich informacji. Nikt normalny nie udostępnia swojego konta.

veto - Racja, tylko profil nie był łatany już jakiś czas a PF ma "zaplecze" duże i gdyby to było tak banalne wyciągnięcia hasła admina, to by już tego nie było. Nie ma rzeczy idealnych ale nie przesadzajmy z wyciąganiem hasła... Ja Ci mogę podać moje hasło zahashowane... Nic Ci to nie da. Bo swoje hasło koduję jeszcze ręcznie na klawiaturze...

Nie dasz "kluczyków" - nikt się nie włamie...
 
veto
Nie dasz "kluczyków" - nikt się nie włamie...


Nie dawałem "kluczyków" - mialem 2 włamy. Wink
 
bartek124
Heh... Sam pomogłeś chakierom w włamach Wink.

Tysiące stron w PHP-Fusion, choćby same Supporty - czy kiedyś ktoś się na nie włamał? Wystarczy mieć głowę na karku i znać podstawy bezpieczeństwa, już zmniejszasz prawdopodobieństwo włamu.
Edytowane przez bartek124 dnia 24.04.2008 18:05:32
userbar_bartek124_net.png mw.gif Nie pomagam na komunikatorach oraz PW!
 
www.bartek124.net
MeTeo
bartek124 - (Charyzjuszowi) Chakierowi jak coś ;P

Co do tematu: Najwidoczniej twoje "kluczyki" były bardzo pospolite lub nie aktualizowałeś fusiona... Z resztą, nie sam PF musi być podatny na xss a wtyczki... Swego czasu było odnalezionych sporo wtyczek z błędami...

Sorry, mój błąd Grin//bartek124
Edytowane przez bartek124 dnia 24.04.2008 17:46:29
 
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl