Возможность взлома, если известно название папки
Возможно ли взломать сайт если взломщику известно название папки где хранятся файлы от sape?
Как можно изменить название этой самой папки не потеряв уже выкупленных ссылок? |
Неоднозначно. Папка sape несет такую же опаность, как любая другая папка с правами на запись :)
|
Цитата:
Цитата:
Код:
require_once($_SERVER['DOCUMENT_ROOT'].'/secret/sape.php'); |
Цитата:
- известен файл в котором ссылки, в файл может быть записан другой набор ссылок (возможно и XSS-эксплойты) - также могут записать слишком большой набор строк, что скорее всего приведет к "повису" скрипта и в целом сайт окажется неработоспособным - в эту папку могут записать N-ое количество файлов, либо один файл очень большого размера, квоты закончатся, в результате скрипты не смогут создавать и перезаписывать файлы, ... - т.е. возможна ограниченная неработоспособность сайта... - могут просто залить в эту папку шел-скрипт, а далее уже куда кривая фантазия хакера выведет :) так что в любом случае не стоит разбазаривать этот уникальный _SAPE_USER код! |
чтобы записать в эту папку нужны права от сервера, то есть взломать надо сервер.
запишите и покажит емене - я вам в ноги поклонюсь |
Цитата:
- злоумышленник должен располагаться на том же сервере (хостинге) что и ваш сайт, при условии шаред-хостинга - это не составит труда (купить аккаунт на этом хостинге) для злоумышленника :) и еще один момент допишем: - хостер должен быть весьма непрофессиональным чтобы допускать возможность запуска скриптов от имени apache, серьезные хостеры либо используют патченный Апач (mod_suphp и т.п.), либо все скрипты запускаются в режиме CGI(FCGI) + suEXEC - что соответственно исключает возможность записи в папку скриптами от другого юзера :) |
Avelon на самом деле сервер ломать не обязательно ..
может быть дырка в скипте.. (почемуто этот вариант никто не рассматривает) и если сервак разрешает писать от имени скрипта... то легко можно внедрить вредноносный файл. |
можно, но это нужна дыра в самом сайте а не в скрипте сапы
|
Цитата:
|
Цитата:
|
Часовой пояс GMT +3, время: 07:28. |
Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.