Prodej projektů Duchod.cz, Duchodova-Reforma.cz a doména MojeFinance.cz
Zobrazují se odpovědi 1 až 14 z 14

Hacking webu, zřejmě sql injection.

  1. Ahoj lidi,

    někdo se mi neustále nabourává do webu a potřebuji přijít na to jak tomu zabránit.

    Předpokládám, že to dělá jedinec, který si mi tuhle na diskuzi stěžoval, že mu za web nezaplatili, ale o tom já nic nevím..nevidím do zákulisí a mojí prací je ten web zase dát dohromady.




    Příznaky jsou následující:

    Nahraji web, poté jde pár hodin a pak najdu v phpmyadminu, místo obrázku uložený soubor index6.php v jedné položce produktu daného webu. A smazané kompletní ftp, ale pouze soubory....

    Takže moje téze je taková, že se nějak musí dostávat přes formulář s obrázky....souborem a nějakou hacking aplikací.....na ftp...., kde může smazat všechny soubory a ponechat všechny složky.

    Jak se proti tomu bránit, poradí někdo zde ze zkušenějších ? Jak mu mohu znemožnit mi smazat celý web.

    ---------- Příspěvek doplněn 05.11.2018 v 16:39 ----------

    .v databázi také chybí id u tabulky user, jednou mi tam v user nechal jenom heslo...v původním sql právě index6.php chybí......
    Naposledy upravil PetrGargulák : 05.11.2018 v 17:10

  2. Co se právě děje na Webtrhu?
  3. základ je asi https
    neošetřené vstupy, špatně nastavená práva do struktury na serveru.
    bordel "dovolující" headers viz score F.
    https://securityheaders.com/?q=http%...owRedirects=on

    jak se tomu bránit? Naprogramovat to pořádně.

    1) naprogramovat základ, zas tak složitá struktura toho webu není
    2) Web vypnout
    3) pak odstranit ftp účet, pak ho přidat s pořádným heslem - nepoužívat ftp ideálně ale to předpokládam nepůjde z neznalosti.
    4) přidat novou db, s novým heslem a data dát zpět

  4. zkontroloval bych asi kdo má přístup v administraci hostingu k údajům (nepotřebné lidi vyhodil, případně vyměnil kontaktní email) , změnil heslo FTP a DTB.
    Bez toho by se tam snad nemohl nikdo dostat :-)

  5. Já nechápu když máte obrat za několik posledních let 29m, tak proč si na penetrační testy někoho nenajmete. Namátkou mě napadá třeba Vláda Smitka, který do security dělá...

  6. full-time programátor se asi neoplatí,co

  7. kde hostuješ?

  8. Citace Původně odeslal vikin Zobrazit příspěvek
    kde hostuješ?
    wedos

  9. Tak tady je to celkem jasný, přes upload nahraje php script a pak si může dělat co chce.
    Zabezpečit formulář, hotovo.

  10. základem jsou logy z web serveru (aka access logy), tam uvidíš na jakou url přistupuje. Podle toho co píšeš, tak si normálně nahraje php soubor do nějaké relativní cesty a ten spustí, což je/byl špatný problém php aplikací. Ošetřit se to dá tak, že v název uploadovaného soubor správně escapuješ nebo použiješ hash, stejně tak upload složku vyloučíš přes httaccess, aby se v ní daly spouštět php soubory.

    Pokud již nahraje php soubor, může si do něj nahrát cokoliv vč. smazání dalších souborů, zavolá si ho přes předem známou url, to přesně uvidíš v access logu, že ne ten soubor někdo přistupoval.

    Na sql injection to nevypadá, ale těžko říct bez znalosti kódu.

  11. Já vám poradím, stačí když vyřídíte vašim parťákům z Work24 (Koncur, Tomáš Starec,..) aby začali platit za to co si objednají a přestali lidi okrádat, pak nebudete muset řešit takovéto problémy. :)

    Pro představu o koho se jedná, přikládám odkaz.

  12. možná neplatí za práci a tvůrce jim dává dárky :D

  13. To je panečku programátor. Udělá profi web ale odchytit místo útoku už nedokáže. Profesionalita mluví za vše.

  14. Citace Původně odeslal filipsedivy Zobrazit příspěvek
    To je panečku programátor. Udělá profi web ale odchytit místo útoku už nedokáže. Profesionalita mluví za vše.
    ten co to dělal ten to zřejmě hackuje...je otom napsáno výše.
    Jinak jsem se ho asi dokázal zbavit..., ale nebudu psát jak, ab sem nepřišel.

  15. Tak už to tedy mám, vše 100% A+ :-) Musel jsem si poradit sám, ale i tak díky za super novinky



    Dobrý den,
    zaujalo mě toto: https://securityheaders.com
    Mám stránky u Wedos.cz, jak prosím opravím ty chyby?

    Missing Headers

    - Strict-Transport-Security
    HTTP Strict Transport Security is an excellent feature to support on your site and strengthens your implementation of TLS by getting the User Agent to enforce the use of HTTPS. Recommended value "Strict-Transport-Security: max-age=31536000; includeSubDomains".

    - Content-Security-Policy
    Content Security Policy is an effective measure to protect your site from XSS attacks. By whitelisting sources of approved content, you can prevent the browser from loading malicious assets.

    - X-Frame-Options
    X-Frame-Options tells the browser whether you want to allow your site to be framed or not. By preventing a browser from framing your site you can defend against attacks like clickjacking. Recommended value "X-Frame-Options: SAMEORIGIN".

    - X-XSS-Protection
    X-XSS-Protection sets the configuration for the cross-site scripting filter built into most browsers. Recommended value "X-XSS-Protection: 1; mode=block".

    - X-Content-Type-Options
    X-Content-Type-Options stops a browser from trying to MIME-sniff the content type and forces it to stick with the declared content-type. The only valid value for this header is "X-Content-Type-Options: nosniff".

    - Referrer-Policy
    Referrer Policy is a new header that allows a site to control how much information the browser includes with navigations away from a document and should be set by all sites.

    - Feature-Policy
    Feature Policy is a new header that allows a site to control which features and APIs can be used in the browser.
    Naposledy upravil need.android.app : 06.11.2018 v 17:40

Hostujeme u Server powered by TELE3