Вернуться   Форум SAPE.RU > Система SAPE.ru > Вопросы от новичков

-->
Ответ
 
Опции темы
Старый 21.02.2008, 11:02   #1
Новичок
 
Регистрация: 21.02.2008
Сообщений: 1
Вес репутации: 0
lexxx на пути к лучшему
По умолчанию Возможность взлома, если известно название папки

Возможно ли взломать сайт если взломщику известно название папки где хранятся файлы от sape?
Как можно изменить название этой самой папки не потеряв уже выкупленных ссылок?
lexxx вне форума   Ответить с цитированием
Старый 21.02.2008, 21:35   #2
Мастер
 
Регистрация: 18.08.2007
Сообщений: 833
Вес репутации: 229
tsb - за этого человека можно гордитсяtsb - за этого человека можно гордитсяtsb - за этого человека можно гордитсяtsb - за этого человека можно гордитсяtsb - за этого человека можно гордитсяtsb - за этого человека можно гордитсяtsb - за этого человека можно гордитсяtsb - за этого человека можно гордится
По умолчанию

Неоднозначно. Папка sape несет такую же опаность, как любая другая папка с правами на запись
tsb вне форума   Ответить с цитированием
Старый 21.02.2008, 21:41   #3
Злой модератор
 
Аватар для Wink
 
Регистрация: 25.03.2007
Адрес: Deep forest
Сообщений: 5,343
Вес репутации: 502
Wink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущее
По умолчанию

Цитата:
Возможно ли взломать сайт если взломщику известно название папки где хранятся файлы от sape?
Нет. Знать название папки для взлома не достаточно.

Цитата:
Как можно изменить название этой самой папки не потеряв уже выкупленных ссылок?
Просто создайте новую папку с любым другим именем. Потом укажите это имя в коде, вместо стандартного.
Код:
require_once($_SERVER['DOCUMENT_ROOT'].'/secret/sape.php');
Wink вне форума   Ответить с цитированием
Старый 22.02.2008, 18:28   #4
Эксперт
 
Аватар для seocore
 
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 355
seocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущее
По умолчанию

Цитата:
Сообщение от tsb Посмотреть сообщение
Неоднозначно. Папка sape несет такую же опаность, как любая другая папка с правами на запись
нет, опасность посерьезнее, при условии что скрипты исполняются от имени apache, то есть следующие опасные моменты:
- известен файл в котором ссылки, в файл может быть записан другой набор ссылок (возможно и XSS-эксплойты)
- также могут записать слишком большой набор строк, что скорее всего приведет к "повису" скрипта и в целом сайт окажется неработоспособным
- в эту папку могут записать N-ое количество файлов, либо один файл очень большого размера, квоты закончатся, в результате скрипты не смогут создавать и перезаписывать файлы, ... - т.е. возможна ограниченная неработоспособность сайта...
- могут просто залить в эту папку шел-скрипт, а далее уже куда кривая фантазия хакера выведет

так что в любом случае не стоит разбазаривать этот уникальный _SAPE_USER код!
seocore вне форума   Ответить с цитированием
Старый 22.02.2008, 18:39   #5
Администратор
 
Регистрация: 22.11.2006
Сообщений: 5,868
Вес репутации: 21475165
Avelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспорима
По умолчанию

чтобы записать в эту папку нужны права от сервера, то есть взломать надо сервер.

запишите и покажит емене - я вам в ноги поклонюсь
Avelon вне форума   Ответить с цитированием
Старый 22.02.2008, 18:44   #6
Эксперт
 
Аватар для seocore
 
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 355
seocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущее
По умолчанию

Цитата:
Сообщение от Avelon Посмотреть сообщение
чтобы записать в эту папку нужны права от сервера, то есть взломать надо сервер.

запишите и покажит емене - я вам в ноги поклонюсь
ок - дописываем еще один пункт:
- злоумышленник должен располагаться на том же сервере (хостинге) что и ваш сайт, при условии шаред-хостинга - это не составит труда (купить аккаунт на этом хостинге) для злоумышленника

и еще один момент допишем:
- хостер должен быть весьма непрофессиональным чтобы допускать возможность запуска скриптов от имени apache, серьезные хостеры либо используют патченный Апач (mod_suphp и т.п.), либо все скрипты запускаются в режиме CGI(FCGI) + suEXEC - что соответственно исключает возможность записи в папку скриптами от другого юзера

Последний раз редактировалось seocore; 22.02.2008 в 18:49.
seocore вне форума   Ответить с цитированием
Старый 22.02.2008, 18:49   #7
Мастер
 
Регистрация: 08.11.2007
Сообщений: 598
Вес репутации: 212
Kent скоро станет известенKent скоро станет известен
По умолчанию

Avelon на самом деле сервер ломать не обязательно ..
может быть дырка в скипте.. (почемуто этот вариант никто не рассматривает) и если сервак разрешает писать от имени скрипта... то легко можно внедрить вредноносный файл.
Kent вне форума   Ответить с цитированием
Старый 22.02.2008, 18:51   #8
Администратор
 
Регистрация: 22.11.2006
Сообщений: 5,868
Вес репутации: 21475165
Avelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспорима
По умолчанию

можно, но это нужна дыра в самом сайте а не в скрипте сапы
Avelon вне форума   Ответить с цитированием
Старый 22.02.2008, 18:57   #9
Эксперт
 
Аватар для seocore
 
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 355
seocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущееseocore - прекрасное будущее
По умолчанию

Цитата:
Сообщение от Avelon Посмотреть сообщение
можно, но это нужна дыра в самом сайте а не в скрипте сапы
справедливо - да и никто не говорит что скрипт сапы дырявый, просто я хотел сказать - что публиковать имя этой секретной папки потенциально может привести к проблемам
seocore вне форума   Ответить с цитированием
Старый 22.02.2008, 19:10   #10
Администратор
 
Регистрация: 22.11.2006
Сообщений: 5,868
Вес репутации: 21475165
Avelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспоримаAvelon - репутация неоспорима
По умолчанию

Цитата:
Сообщение от seocore Посмотреть сообщение
справедливо - да и никто не говорит что скрипт сапы дырявый, просто я хотел сказать - что публиковать имя этой секретной папки потенциально может привести к проблемам
гипотетически, да
Avelon вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Сменить название сайта tvoymarket Курилка 26 01.07.2008 03:18
Подскажите название скрипта valiko Курилка 5 22.03.2008 23:14
Если возможность с бесплатным хостингом! clombus Вопросы по работе системы 9 02.01.2008 00:58
если кто-то узнал адрес папки sape nick_name Вопросы от новичков 1 19.12.2007 06:02
добавит Url + название урла rrrain Пожелания пользователей системы 25 15.06.2007 18:11


Часовой пояс GMT +3, время: 18:10.