Zhackowana strona - problem

0

Witam,
Ostatnio zrobiłem prostą stronke dla jednej firmy składającą się z logowani, bazy danych i kilku prostych skryptów min dodawanie/modyfikowanie bazy mysql. Dzisiaj został zgłoszony pewien problem. Na serwerze firma ta trzyma jeszcze jedą strone oraz serwer pocztowy. Podobno strona którą wykonałem została zhackowana, przez co poczta rozsyłała spam i została dodana do list spamowych i zablokowana. Ponieważ jestem dopiero początkujący jeżeli chodzi o zagadnienia www chciał bym się dowiedzieć jak to możliwe jeżeli storna moja nie była połączona z pocztą? Podejrzewa że ma to związek z tym iż mój skrypt logowania nie zawierał żadnego szyfrowania tylko proste porównywanie z bazą, czy to jest źródło problemu, jeśli tak to jak zabezpieczyć się na przyszłość?

1

Ciężko udzielić konkretnej odpowiedzi, mając tak niewiele informacji.

Ot, pierwsze trzy odpowiedzi, które przyszły mi do głowy to:

  1. W bazie trzymano hasło plaintextem i hasło było takie samo jak hasło do FTPa/SSH - dzięki temu atakujący uzyskał dostęp do serwera na którym stoi strona oraz serwer poczty.
  2. Błąd na Twojej stronie umożliwiał wykonanie dowolnego skryptu PHP.
  3. Jeśli rozsyłając SPAM łączono się z pocztą poprzez SMTP to wystarczyło, że atakujący zdobył hasło do dowolnego konta pocztowego na tym serwerze. Hasło takie mogło być w sposób niezabezpieczony trzymane w bazie.

Co do zabezpieczania strony... musisz poczytać, pierwsze z brzegu do przyswojenia:

  • SQL Injection
  • XSS/CSRF
  • Directory Traversal
  • Include Vulnerability (kiedyś w jakimś artykule czytałem, że w takiej sytuacji wystarczy w argumencie pobierać nazwę pliku, a rozszerzenie na sztywno doklejać w kodzie - jeśli zawsze jest to .php - ale w to nie wierz, kłamią, to nie działa, rozwiązanie podatne na Poison Null Byte jak wskazał @Demonical Monk Null Byte Poisoning załatano już jakiś czas temu)
3

Samemu w PHP pisząc i nie mając grubego doświadczenie, niezwykle często się popełnia babole, które łatwo wykorzystać. Najczęściej jednak nikomu się nie chce włamywać na takie strony.

Jeśli robisz nie dużą stronkę i słabo znasz nawet .NET, Javę to i tak warto napisać coś w ASP.NET czy jsp, bo z góry ustawione są nieźle zabepieczenia, choć i tutaj można popełnić błędy, choć nie tak łatwo i nie tak łatwo je potem złamać.

1 użytkowników online, w tym zalogowanych: 0, gości: 1