PHP database hack
Mijn vraag klinkt nogal stom, maar ik wil proberen mijn eigen website te hacken.
Af en toe zie ik op de PHPHulp forums iemand een bericht posten bij een site review waar ze zo kunnen inbreken en de gegevens van PHPmyAdmin of iets anders kunnen achterhalen.
Maar nogmaals: als de ze theorie een beetje uit te leggen is: ik gebruik het alleen voor mijn eigen website.
Je mag eventueel ook wel pmen.
Maak je wachtwoord van je MySQL gegevens ook heel moeilijk.
Gewijzigd op 02/10/2010 10:12:31 door - Raoul -
Testen op sql injection is erg makkelijk: vaak kun je enkel door een enkele quote (') in te vullen, zien of het hackbaar is. Als je namelijk ziet dat je query fout gaat weet je genoeg.
Andere methoden zijn XSS (dit is lastiger en moeilijker om effect mee te bereiken) en Remote File Incluseion of Remote Code Injection. Dit is de krachtigste hack, maar het kost vaak veel moeite om eenvoudige beveiligingsmaatregelen te omzeilen.
Pim de Haan op 02/10/2010 13:00:02:
(...) Remote File Incluseion of Remote Code Injection. Dit is de krachtigste hack, maar het kost vaak veel moeite om eenvoudige beveiligingsmaatregelen te omzeilen.
Dit zie je vaak bij dingen als include($_GET['pagina']);
Is gewoon een add-on trouwens. Moet je even googlen
Gewijzigd op 02/10/2010 15:15:05 door Niels K
Karl Karl op 02/10/2010 14:13:20:
Dit zie je vaak bij dingen als include($_GET['pagina']);
Pim de Haan op 02/10/2010 13:00:02:
(...) Remote File Incluseion of Remote Code Injection. Dit is de krachtigste hack, maar het kost vaak veel moeite om eenvoudige beveiligingsmaatregelen te omzeilen.
Dit zie je vaak bij dingen als include($_GET['pagina']);
Ja ik hoop nog steeds dat dit bij iedereen onder 'eenvoudige beveiligingsmaatregelen' valt die altijd worden genomen... Naïef misschien.
The attacked page is dangerously similar to the original page. It is 100% similar. Got access to a resource that should be protected. Server response code: 200 OK.
Op internet heb ik al gezocht, maar ik kan niks nuttigs vinden. Wat houdt deze foutmelding in?
Kan iemand mij helpen met deze foutmelding?
Hmm, ik geloof, dat upload scripts nog altijd het gevaarlijkst zijn. Als je hier een php bestandje (met bijvoorbeeld een simpele foreach-scandir-print-file_get_contents op alle mappen) op iemands server krijgt, kan je de volledige server in kaart brengen en eventueel overnemen.
Nog even over mijn eerste vraag. Hoe is het dan mogelijk om achter database wachtwoorden te komen? Dat is dan toch bijna niet mogelijk? Hoe kan XSS daar voor zorgen?
Wanneer iemand echter RFI toepast, heb je file access en zijn alle wachtwoorden zo binnen.
"http://kwetsbaresite.nl/search.php?keyword={code hier}"
Als PHP mogelijk zou zijn dan kan je een file upload script op de pagina toveren om vervolgens een shell te uploaden.
Alleen mogelijk als de search keyword weer terug wordt weergegeven op het scherm natuurlijk.
Correct me if i'm wrong.
Gewijzigd op 12/10/2010 15:21:33 door - Dave -
De kwetsbaarheid ligt in dit geval natuurlijk bij de client niet bij de server, hoewel dit misschien nog wel vervelender is.