21.02.2008, 11:02 | #1 |
Новичок
Регистрация: 21.02.2008
Сообщений: 1
Вес репутации: 0
|
Возможность взлома, если известно название папки
Возможно ли взломать сайт если взломщику известно название папки где хранятся файлы от sape?
Как можно изменить название этой самой папки не потеряв уже выкупленных ссылок? |
21.02.2008, 21:41 | #3 | ||
Злой модератор
Регистрация: 25.03.2007
Адрес: Deep forest
Сообщений: 5,343
Вес репутации: 502
|
Цитата:
Цитата:
Код:
require_once($_SERVER['DOCUMENT_ROOT'].'/secret/sape.php'); |
||
22.02.2008, 18:28 | #4 | |
Эксперт
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 355
|
Цитата:
- известен файл в котором ссылки, в файл может быть записан другой набор ссылок (возможно и XSS-эксплойты) - также могут записать слишком большой набор строк, что скорее всего приведет к "повису" скрипта и в целом сайт окажется неработоспособным - в эту папку могут записать N-ое количество файлов, либо один файл очень большого размера, квоты закончатся, в результате скрипты не смогут создавать и перезаписывать файлы, ... - т.е. возможна ограниченная неработоспособность сайта... - могут просто залить в эту папку шел-скрипт, а далее уже куда кривая фантазия хакера выведет так что в любом случае не стоит разбазаривать этот уникальный _SAPE_USER код! |
|
22.02.2008, 18:44 | #6 | |
Эксперт
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 355
|
Цитата:
- злоумышленник должен располагаться на том же сервере (хостинге) что и ваш сайт, при условии шаред-хостинга - это не составит труда (купить аккаунт на этом хостинге) для злоумышленника и еще один момент допишем: - хостер должен быть весьма непрофессиональным чтобы допускать возможность запуска скриптов от имени apache, серьезные хостеры либо используют патченный Апач (mod_suphp и т.п.), либо все скрипты запускаются в режиме CGI(FCGI) + suEXEC - что соответственно исключает возможность записи в папку скриптами от другого юзера Последний раз редактировалось seocore; 22.02.2008 в 18:49. |
|
22.02.2008, 18:49 | #7 |
Мастер
Регистрация: 08.11.2007
Сообщений: 598
Вес репутации: 212
|
Avelon на самом деле сервер ломать не обязательно ..
может быть дырка в скипте.. (почемуто этот вариант никто не рассматривает) и если сервак разрешает писать от имени скрипта... то легко можно внедрить вредноносный файл. |
22.02.2008, 18:57 | #9 |
Эксперт
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 355
|
|
22.02.2008, 19:10 | #10 |
Администратор
Регистрация: 22.11.2006
Сообщений: 5,868
Вес репутации: 21475165
|
|
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Сменить название сайта | tvoymarket | Курилка | 26 | 01.07.2008 03:18 |
Подскажите название скрипта | valiko | Курилка | 5 | 22.03.2008 23:14 |
Если возможность с бесплатным хостингом! | clombus | Вопросы по работе системы | 9 | 02.01.2008 00:58 |
если кто-то узнал адрес папки sape | nick_name | Вопросы от новичков | 1 | 19.12.2007 06:02 |
добавит Url + название урла | rrrain | Пожелания пользователей системы | 25 | 15.06.2007 18:11 |
Часовой пояс GMT +3, время: 18:10.