Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Ctrl

Invasão por PHP - cade a segurança

Por , em PHP

Recommended Posts

Ctrl    0

Ctrl
Postado

Pessoal...tem como descobrir senha no código do PHP?Ex:<?php$password="654321";if(!isset($passwd) or $passwd!=$password){echo "<table width=\"303\" border=\"0\" cellspacing=\"1\" cellpadding=\"0\" height=\"169\" bgcolor=\"#ffffff\" align=\"center\"><tr><td bgcolor=\"#ffffff\" height=\"110\"><table width=\"311\" border=\"0\" cellspacing=\"1\"cellpadding=\ .................. Alguem me enviou por email meus dados de MySQL... como ele conseguiu??Aguardo urgente, pois meu site corre risco de invasão! :( :(

Compartilhar este post

Link para o post
Compartilhar em outros sites

d.eleete    0

d.eleete
Postado

no mysql e/ou php o md5 é um tipo de criptografia sem chave.. uma vez criptografada você não consegue + visualmente identificá-la ... (Me corrijam por favor se eu estiver errado.. please)Nossas senhas neste forum por exemplo são criptografadas em md5, ou seja, nem o administrador consegue identifica-las, somente o sistema! :)

Compartilhar este post

Link para o post
Compartilhar em outros sites

rockbilly    0

rockbilly
Postado

você deve ter sofrido um ataque de PHP Injection... geralemente os crackers usam este artifício das funções include, require para pegar informações do servidor! Passando funçoes pela URL... é uma brecha de segurança, bom estar atento.

Compartilhar este post

Link para o post
Compartilhar em outros sites

ferraz    0

ferraz
Postado

d.eleete só pra complementar(corrigir não é o caso):o algoritmo md5 gera o chamado HASH, ou seja, gera uma sequencia de 128 bits.Para cada entrada distinta nunca existirá uma mesma saída.Por isso a idéia de gravar o HASH da senha no banco "impede" que a mesma seja descoberta, pois nem o programador ou o administrador podem reverter.O HASH é irreversível, por isso não podemos chamar de criptografia.

Compartilhar este post

Link para o post
Compartilhar em outros sites

ferraz    0

ferraz
Postado

Pode ser das duas formas. Normalmente explora-se uma falha de "buffer-overflow", que nada mais é que um estouro de pilha. Por exemplo se você já programou em C sabe que pode criar variáveis char: char V[10].Se esta variavel V receber um valor com mais de 10 posições???Aí acontece o estouro de buffer. O código tem de ser protegido contra esse tipo de bug(o código do servidor, do php, não o seu script).Baseado nisso o invasor pode criar mecanismos que exploram estas falhas. O que pode acontecer? - Existia uma falha de bo no IIS(no apache tb aconteceu) que quando inserido uma palavra chave na barra de endereços ele simplismente permitia o donwload do script, seja ele PHP ou ASP.Aí acontece como no caso do nosso colega, a senha estava no código e aí melou.Normalmente colocamos o usuário do Banco e a Senha no script. Tente colocá-los em um arquivo dentro de um diretório protegido de acesso http. Pronto este problema tu já resolveu.Tendo acesso ao banco, ele terá acesso a todos os dados...Espero ter ajudado !

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito