DunLog - Rumburské noviny hacknuty pomocí PHP injection

jouzinka

Thu, 15 Feb 2007 15:57:51 +0100

Hergot, člověče, z tebe by člověk brzo dostal noční můry... Brrr. :D Jinak článek dobrej. ;) Na tento komentář odpověděl [3] Dundee

Sibep

Thu, 15 Feb 2007 16:19:44 +0100

me nikdy nenapadlo, ze je to az tak "jednoduche". hned du upravit svoji prvotinu co ted delam :) Na tento komentář odpověděl [3] Dundee

Dundee

Thu, 15 Feb 2007 16:23:27 +0100

#1 jouzinka: Vždyť jsem byl na ně hodnej :) #2 Sibep: JJ, PHP Injection je velmi jednoduché. Horší je to s XSS a SQL injection, to už chce trochu víc znalostí a cviku :)

hbml

Thu, 15 Feb 2007 16:37:56 +0100

Dundee poklona

ondrakub

Thu, 15 Feb 2007 16:53:46 +0100

Mno jo, tak to dopadá, když weby dělá každý druhý a rozumí tomu jak koza petrželi.

--==[FReeZ]==--

Thu, 15 Feb 2007 17:38:27 +0100

Hezky clanek Dundee, zatim jediny, kde se autor nevychlouba touto starou chybou =)

Marek Brádler

Fri, 16 Feb 2007 14:30:39 +0100

neříkal jsi náhodou že to necháš týden? Nebo už to je týden? :D btw kde je článek o tom, že David už zase píše? :)

Dundee

Fri, 16 Feb 2007 23:00:38 +0100

Počkal jsem jen dokud to neopravěj :) No s tim Davidem bych to radši moc nevykřikoval, aby ho to chvilkový psaní nepřešlo...

eMVe

Wed, 28 Feb 2007 11:45:35 +0100

Pokud změníš texty na webu - napíšeš na úvodní stránku HACKNUTO, tak IMHO poškodíš majitele webu i jeho majetek. A to je trestné. Upozornit je lze jinym (privatnim) kanalem. Toto beru jen jako vychloubání začínajícího "hackera"

Dundee

Wed, 28 Feb 2007 12:32:47 +0100

Myslím, že napsat na úvodní stránku "hacknuto", je běžná praxe. Majitel a jejich programátor to brali taky tak. Naopak mi ještě poděkovali. BTW: Hned po útoku jsem jim poslal opravený skript...

chosehero

Wed, 28 Feb 2007 15:58:07 +0100

Tak myslim, ze zas tak narocne nadnout stranky timto zpusobem neni zas az tak slozite. Na webu je toho mraky (navodu). Nic mene dekuji za upozorneni, pac jste me donutil to opravit. Nechal jsem to zatim bejt, protoze se stranky maj v nejblizsi dobe cele obmenit. Dale samozrejme dekuji ze jste nejak nezneuzil informace ktere jste timto ziskal. Ted si budu davat urcite vetsiho majzla:)) Jinak co se tyce toho XSS o kterem pisete tak nemuzu prijit porad na to co jste tim myslel. jestli jste zadal do vyhledavani pouze html tag nebo ten obrazek je vytvoren nejak jinak. Todle by me opravdu zajimalo:)) Na tento komentář odpověděl [12] Dundee

Dundee

Thu, 01 Mar 2007 14:38:38 +0100

#11 chosehero: Ano, tim XSS jsem myslel pouze to, ze nemate osetreny vystup u hledani. Tzn. ze se da na strance zobrazit jakykoliv HTML i JS kod, ktery strance podstrcite. Tato chyba je mnohem hure zneuzitelna, nez PHP injection, ale zneuzit se s trochou sikovnosti take da. Viz napr. Sysel a jeho hack Zive.cz pomoci XSS.

;-)

Sun, 10 Jun 2007 21:44:29 +0200

Mě to prostě nejde udělal jsem si stránky 3. řádu a tam vložil script '; ?> no a pak jsem šel na nějaký stránky který jsem si našel aby odpovídali jak to popisuješ v bodě jedna no a tam do url zadal http://www.neco.cz/index.php?page=tam sem napsal odkaz na svoje stránky KDE SEM UDĚLAL CHYBU ???

Jorg

Sat, 14 Jul 2007 09:54:53 +0200

Oslové, co puberta?

arnir

Sun, 29 Jul 2007 22:08:57 +0200

ja to php injektion zkousel taky. nasel sem deravou stranku, nahral si show source na svuj web, upravil odkaz a po odklepnuti se do stranky zobrazil zdroj meho indexu!! zoho kde mam nahrane show source!! nevis kde je chyba? Na tento komentář odpověděl [17] Dundee

arnir

Sun, 29 Jul 2007 22:09:43 +0200

*zoho= z toho

Dundee

Sun, 05 Aug 2007 19:49:40 +0200

#15 arnir: Problem je v tom, ze pokud nacitas svuj skript, ktery ma koncovku .php, tak se jeho obsah provede uz na strane tveho serveru. Proto musi byt vystupem toho skriptu chteny php kod. Staci tedy to, co tam mas ted, dat cele do echo 'soucasny kod';

arnir

Fri, 10 Aug 2007 10:40:06 +0200

aha jako ze to mam udelat treba takto: echo 'show_source("index.php")' ?

arnir

Fri, 10 Aug 2007 13:10:11 +0200

tedy jeste plus

arnir

Fri, 10 Aug 2007 13:31:29 +0200

super hacknul jsem svuj prvni web :)

arnir

Fri, 10 Aug 2007 20:33:44 +0200

takhle "nadalku" nelze pouzit funkci fopen, unlink a ani zadnou jinou se soubory ze ano? me to nejde Na tento komentář odpověděl [22] Dundee

Dundee

Tue, 14 Aug 2007 09:41:10 +0200

#21 arnir: Nevim proc by to nemelo jit. Nedelas totiz nic nadalku. Ten tvuj soubor se normalne naincluduje jako by to byl lokalni skript a pak se spusti. Takze jakekoliv funkce dostupne na tom hostingu, jsou dostupne i tobe. Zkouset funkce typu unlink ale razantne nedoporucuji. Tento clanek ma ukazat zajimave moznosti a upozornit na chyby, rozhodne ale nema navadet k poskozovani cizich dat.

house

Sun, 23 Mar 2008 23:56:27 +0100

zajímavé ;)obrázek