Webboard

Pełna wersja: Style które mogą zawierać błędy lub luki bezpieczeństwa
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
Witam.
Przeglądając forum cmsszablony.pl napotkałem styl djhehe, który zawiera mały skrypcik. Dzięki niemu możemy wrzucić dowolny plik na ftp i nadać mu rozszerzenie .php
http://cmsszablony.pl/pobierz-luminos-my...t30715.htm
Nie pobierajcie tego stylu, ponieważ możecie zostać łatwo hacknięci ;)
Plik nosi nazwę url.php - Może znajdować się nie tylko w tym stylu, a także podobne komponenty mogą być dodane na płatnych stylach ściągniętych z nielegalnych stron.
Nie rozumiem, znaczy specjalnie ktoś tam wrzucił skrypt, dzięki któremu można hacknąć nasze forum czy to błąd?
MixTape, tak kod taki został dodany specjalnie aby haknąć łatwiej ci forum jak go wgrasz.
A tego Luminosa da się jakoś oczyścić z tej luki?

Wysłane z mojego Vertis Expi V3 za pomocą Tapatalk.
Pewnie się da, może to być tylko plik url.php i po usunięciu może być po problemie ale jeszcze zawsze może w stylu znajdować się jakiś szkodliwy kod a więc byś musiał przeanalizować cały kod stylu w poszukiwaniu ewentualnie kodu szkodliwego
Tak to jest, jak się pobiera z niezaufanych źródeł.
Pamiętam jak kiedyś była głośna afera ze skryptem phpbb2, jak na jednym polskim supporcie jego instalka zawierała (o ile dobrze pamiętam) dodatkowy kod, który wysyłał dane instalacyjne na jakiegoś maila.
Oj, nie prawda. DjHehe się zabezpieczył jakby ktoś chcial np. pomcy bo coś nie tak działa a np. usunął stopkę autora. Od razu djhehe klika w bazę danych swojej strony i daje wielkie info na stronie z informacją typu "Zmiana stopki autora, styl nie działa" Lub coś takiego. Wiem, bo pisałem z Djhehe i była już taka sytuacja!
Sk13q Skoro w tym stylu znalazłem taki plik, to nie wyssałem sobie tego z palca xD
Zastanowiłeś się co napisałeś ? :)
Cytat:Oj, nie prawda. DjHehe się zabezpieczył jakby ktoś chcial np. pomcy bo coś nie tak działa a np. usunął stopkę autora. Od razu djhehe klika w bazę danych swojej strony i daje wielkie info na stronie z informacją typu "Zmiana stopki autora, styl nie działa" Lub coś takiego. Wiem, bo pisałem z Djhehe i była już taka sytuacja!
Takie zabezpieczenie nazywa się hacking ;)
Ostatnio nasiliły się włamania na fora oparte o skrypt myBB. Skrypt jest coraz bardziej popularny, także sprytni włamywacze nie śpią.
Wato zwróć uwagę na pliki znajdujące się w paczce stylu i pluginu. Pamiętam, że kiedyś do stylów phpBB dodawano plik index..php (dwie kropki przed php). Na pierwszy rzut oka nie do wykrycia. A plik pozwalał na dodawanie, modyfikowanie i usuwanie plików na FTP.


Pozdrawiam!
(22.04.2014, 10:00)Sk13q napisał(a): [ -> ]Oj, nie prawda. DjHehe się zabezpieczył jakby ktoś chcial np. pomcy bo coś nie tak działa a np. usunął stopkę autora. Od razu djhehe klika w bazę danych swojej strony i daje wielkie info na stronie z informacją typu "Zmiana stopki autora, styl nie działa" Lub coś takiego. Wiem, bo pisałem z Djhehe i była już taka sytuacja!

Żartujesz, tak? Może od razu wklej mu na stronie głównej napis: "Dla DjHehe: hasło do panelu admina to dupa123, życzę miłego kontrolowania zawartości mojego forum." Przecież z takiego pliku może skorzystać nie tylko on - myśl trochę. Wgrywając go dobrowolnie wyrażasz zgodę na działanie na szkodę Twojej strony.

Forum napisane w PHP to nie zabawka i kiedyś przez takie poglądy i lekceważenie podstawowych i priorytetowych aspektów administracji strony internetowej - "A po co mi bezpieczeństwo? Bez niego będę miał fajny styl skopiowany z IPB." - poniesiesz konsekwencje. Ty albo ktokolwiek inny z tych 90%-99%, którzy to pobrali i bez wahania z uśmiechem na twarzy wrzucili na serwer.

Wyobraź sobie podobną sytuację w niewirtualnym świecie - przychodzi do Ciebie jakiś monter AGD i po miesiącu zauważasz przy nowym sedesie kamery. Co robisz? Zostawiasz i ignorujesz je. Likwidujesz je i kontaktujesz się z firmą monterską i żądasz odpowiedzi na pytanie skąd się tam wzięły. Czy "Mógłby Pan zamazać nasze logo, dlatego chcemy je obserwować." by Cię usatysfakcjonowała?

Oczywiście nie twierdzę, że autor nie ma prawa interweniować jeśli ktoś korzysta z jego pracy niezgodnie z prawem/licencją/zasadami. Ale szpiegowanie i ingerencja w produkt to najgorszy możliwy sposób - traci się w ten sposób wiarygodność i zaufanie klientów. W tym wypadku - złamania licencji stylu - zawsze można skontaktować się z hostingiem lub podjąć inne, podobne kroki.