Возможность взлома, если известно название папки

[lexxx]

Возможно ли взломать сайт если взломщику известно название папки где хранятся файлы от sape?
Как можно изменить название этой самой папки не потеряв уже выкупленных ссылок?

[tsb]

Неоднозначно. Папка sape несет такую же опаность, как любая другая папка с правами на запись

[Wink]

Цитата:

Возможно ли взломать сайт если взломщику известно название папки где хранятся файлы от sape?

Нет. Знать название папки для взлома не достаточно.

Цитата:

Как можно изменить название этой самой папки не потеряв уже выкупленных ссылок?

Просто создайте новую папку с любым другим именем. Потом укажите это имя в коде, вместо стандартного.

Код:

require_once($_SERVER['DOCUMENT_ROOT'].'/secret/sape.php');

[seocore]

Цитата:

Сообщение от tsb

Неоднозначно. Папка sape несет такую же опаность, как любая другая папка с правами на запись

нет, опасность посерьезнее, при условии что скрипты исполняются от имени apache, то есть следующие опасные моменты:
- известен файл в котором ссылки, в файл может быть записан другой набор ссылок (возможно и XSS-эксплойты)
- также могут записать слишком большой набор строк, что скорее всего приведет к "повису" скрипта и в целом сайт окажется неработоспособным
- в эту папку могут записать N-ое количество файлов, либо один файл очень большого размера, квоты закончатся, в результате скрипты не смогут создавать и перезаписывать файлы, ... - т.е. возможна ограниченная неработоспособность сайта...
- могут просто залить в эту папку шел-скрипт, а далее уже куда кривая фантазия хакера выведет

так что в любом случае не стоит разбазаривать этот уникальный _SAPE_USER код!

[Avelon]

чтобы записать в эту папку нужны права от сервера, то есть взломать надо сервер.

запишите и покажит емене - я вам в ноги поклонюсь

[seocore]

Цитата:

Сообщение от Avelon

чтобы записать в эту папку нужны права от сервера, то есть взломать надо сервер.

запишите и покажит емене - я вам в ноги поклонюсь

ок - дописываем еще один пункт:
- злоумышленник должен располагаться на том же сервере (хостинге) что и ваш сайт, при условии шаред-хостинга - это не составит труда (купить аккаунт на этом хостинге) для злоумышленника

и еще один момент допишем:
- хостер должен быть весьма непрофессиональным чтобы допускать возможность запуска скриптов от имени apache, серьезные хостеры либо используют патченный Апач (mod_suphp и т.п.), либо все скрипты запускаются в режиме CGI(FCGI) + suEXEC - что соответственно исключает возможность записи в папку скриптами от другого юзера

[Kent]

Avelon на самом деле сервер ломать не обязательно ..
может быть дырка в скипте.. (почемуто этот вариант никто не рассматривает) и если сервак разрешает писать от имени скрипта... то легко можно внедрить вредноносный файл.

[Avelon]

можно, но это нужна дыра в самом сайте а не в скрипте сапы

[seocore]

Цитата:

Сообщение от Avelon

можно, но это нужна дыра в самом сайте а не в скрипте сапы

справедливо - да и никто не говорит что скрипт сапы дырявый, просто я хотел сказать - что публиковать имя этой секретной папки потенциально может привести к проблемам

[Avelon]

Цитата:

Сообщение от seocore

справедливо - да и никто не говорит что скрипт сапы дырявый, просто я хотел сказать - что публиковать имя этой секретной папки потенциально может привести к проблемам

гипотетически, да