PHP database hack

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Jordy nvt

Jordy nvt

02/10/2010 10:09:55
Quote Anchor link
Hallo,

Mijn vraag klinkt nogal stom, maar ik wil proberen mijn eigen website te hacken.

Af en toe zie ik op de PHPHulp forums iemand een bericht posten bij een site review waar ze zo kunnen inbreken en de gegevens van PHPmyAdmin of iets anders kunnen achterhalen.

Maar nogmaals: als de ze theorie een beetje uit te leggen is: ik gebruik het alleen voor mijn eigen website.

Je mag eventueel ook wel pmen.
 
PHP hulp

PHP hulp

22/12/2024 07:51:26
 
- Raoul -

- Raoul -

02/10/2010 10:12:07
Quote Anchor link
Tja, probeer te kijken of er SQL injections in je site zitten, kijk of er XSS hacking mogelijk is, ...

Maak je wachtwoord van je MySQL gegevens ook heel moeilijk.
Gewijzigd op 02/10/2010 10:12:31 door - Raoul -
 
Niek s

niek s

02/10/2010 11:58:33
Quote Anchor link
Testen op sql injection is erg makkelijk: vaak kun je enkel door een enkele quote (') in te vullen, zien of het hackbaar is. Als je namelijk ziet dat je query fout gaat weet je genoeg.
 
Pim -

Pim -

02/10/2010 13:00:02
Quote Anchor link
De makkelijkste en toch vrij krachtigste hack is inderdaad SQL-injection. Google erop en je vindt genoeg.

Andere methoden zijn XSS (dit is lastiger en moeilijker om effect mee te bereiken) en Remote File Incluseion of Remote Code Injection. Dit is de krachtigste hack, maar het kost vaak veel moeite om eenvoudige beveiligingsmaatregelen te omzeilen.
 

02/10/2010 14:13:20
Quote Anchor link
Pim de Haan op 02/10/2010 13:00:02:
(...) Remote File Incluseion of Remote Code Injection. Dit is de krachtigste hack, maar het kost vaak veel moeite om eenvoudige beveiligingsmaatregelen te omzeilen.


Dit zie je vaak bij dingen als include($_GET['pagina']);
 
Niels K

Niels K

02/10/2010 15:14:28
Quote Anchor link
Ik heb in Firefox een leuk tooltje om SQL injecties automatisch te laten uitvoeren..:)
Is gewoon een add-on trouwens. Moet je even googlen
Gewijzigd op 02/10/2010 15:15:05 door Niels K
 
Pim -

Pim -

02/10/2010 16:05:42
Quote Anchor link
Karl Karl op 02/10/2010 14:13:20:
Pim de Haan op 02/10/2010 13:00:02:
(...) Remote File Incluseion of Remote Code Injection. Dit is de krachtigste hack, maar het kost vaak veel moeite om eenvoudige beveiligingsmaatregelen te omzeilen.


Dit zie je vaak bij dingen als include($_GET['pagina']);


Ja ik hoop nog steeds dat dit bij iedereen onder 'eenvoudige beveiligingsmaatregelen' valt die altijd worden genomen... Naïef misschien.
 
Jordy nvt

Jordy nvt

02/10/2010 19:13:34
Quote Anchor link
Ik ben nu bezig met de Acces me plugin in Firefox. Ik krijg steeds de volgende grote foutmelding:

The attacked page is dangerously similar to the original page. It is 100% similar. Got access to a resource that should be protected. Server response code: 200 OK.

Op internet heb ik al gezocht, maar ik kan niks nuttigs vinden. Wat houdt deze foutmelding in?
 
Jordy nvt

Jordy nvt

07/10/2010 16:27:09
Quote Anchor link
Kan iemand mij helpen met deze foutmelding?
 
Pieter van Linschoten

Pieter van Linschoten

07/10/2010 16:56:51
Quote Anchor link
Hmm, ik geloof, dat upload scripts nog altijd het gevaarlijkst zijn. Als je hier een php bestandje (met bijvoorbeeld een simpele foreach-scandir-print-file_get_contents op alle mappen) op iemands server krijgt, kan je de volledige server in kaart brengen en eventueel overnemen.
 
Jordy nvt

Jordy nvt

12/10/2010 11:55:03
Quote Anchor link
Nog even over mijn eerste vraag. Hoe is het dan mogelijk om achter database wachtwoorden te komen? Dat is dan toch bijna niet mogelijk? Hoe kan XSS daar voor zorgen?
 
Pim -

Pim -

12/10/2010 14:20:22
Quote Anchor link
Kan vast wel, maar ik zou niet weten hoe. Wat wel kan ik cookies stelen en zo een admin-account overnemen.

Wanneer iemand echter RFI toepast, heb je file access en zijn alle wachtwoorden zo binnen.
 
- Dave -

- Dave -

12/10/2010 15:19:20
Quote Anchor link
Met XSS kan je naar mijn weten alleen redirects, java drive-by's en cooke stealer scripts invoegen (HTML dus) op de kwetsbare site en dan de link doorgeven aan iemand als de site de GET method gebruikt:
"http://kwetsbaresite.nl/search.php?keyword={code hier}"

Als PHP mogelijk zou zijn dan kan je een file upload script op de pagina toveren om vervolgens een shell te uploaden.

Alleen mogelijk als de search keyword weer terug wordt weergegeven op het scherm natuurlijk.

Correct me if i'm wrong.
Gewijzigd op 12/10/2010 15:21:33 door - Dave -
 
Pim -

Pim -

12/10/2010 15:30:20
Quote Anchor link
Vaak kan je met dit soort hacks veel meer dan je op het eerste gezicht denkt. Zo kan me met MYSQL injecties, mits je de juiste rechten hebt, een systeem overnemen...

De kwetsbaarheid ligt in dit geval natuurlijk bij de client niet bij de server, hoewel dit misschien nog wel vervelender is.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.