kwestia bezpieczeństwa w PHP

0

w ciagu oststniego pol roku wlamano sie na moja stronke 3 razy z 2 roznych zrodel :-|. Podejrzewam, ze sposob byl podobny, ale nie moge sie doszukac jak...

Znacie moze jakies dobre kursy zabezpieczen w PHP? Znalazlem kilka, ale wszystkie zawieraja wlasciwie to samo - co wiecej - moja strona jest (raczej) na nie zabezpieczona, a przynajmniej mi sie na nia nie udalo wlamac korzystajac z przykladow :-/

Nie wiem, czy to pomoze, ale wlamywaczowi udalo sie zuploadowac na serwer plik o rozszerzeniu php...

0

To sprawdzasz w takim razie gdzie może być dziura w uploadzie - czy nie ma gdzieś możliwości uploadowania pliku o dowolnym rozszerzeniu, albo nie ma jakiegoś słabego hasła na FTP (zdarza się, że zamiast włamywać się przez stronkę złamie lub odgadnie hasło na FTP i śmiga).

0

wlamanie na FTP odpada, bo np. "skasowanie" loga odbylo sie przez strone (przycisk "kasuj log" nie służy do kasowania loga :->) - przez ftp wystarczy usunac plik...

Zas jesli chodzi o upload to owszem, mozna uploadowac plik o dowolnym rozszerzeniu, ale wszystkie zapisuja sie jaki zip i nie o okreslonej nazwie, ale jako kolejny numerek...

0

a jaki adres tej stronki ? :>

0

adres podalem przez gg - nie chcialbym, aby nagle kilka osob sie rzucilo na moja stronke, jakby to bylo try2hack ;)

0

jak mamy Ci coś poradzić skoro nie chcesz podać adresu ??

PS ad adres w Twojej stropce - naucz się używać instrukcji warunkowych ;)

0
tomkiewicz napisał(a)

adres podalem przez gg - nie chcialbym, aby nagle kilka osob sie rzucilo na moja stronke, jakby to bylo try2hack ;)

zadne try2hack, ale nie znajac zabezpieczen... jestes pewien ze gdzies nie jest przesylana do bowsera nazwa pliku?

0

Nie znając? Jak reszta jest równie solidna jak to: http://www.tomkiewicz.hostings.pl/?page=../index to :)

0

ok, podaje ;)

www.zamaika.prv.pl

Qyon - thx za podpowiedz, ale zamaika (teraz, nie przed atakami) jest na to odporna - akceptuje tylko includy skladajace sie z 8 liter (wyłącznie liter). Nie rozumiem jednak, jak mozna sie bylo wlamac za pomoca czegos takiego :-|

EDIT:
jak ktos chce sprawdzic, jak sie tym sposobem wlamac to moge zdjac zabezpieczenie na czas testow :)

EDIT2:
jak ktos chce zeby zdjac zabezpieczenie - niech pisze na gg (niewidoczny) - 0000000...

0

daj źródło uploadu - wtedy będzie można zobaczyć co musisz poprawić

1 użytkowników online, w tym zalogowanych: 0, gości: 1