Помощь Варианты взлома open cart 2 - кого как пытались?

Ваш opencart пытались взломать?


  • Всего проголосовало
    12
Local File Inclusion (LFI) через логи делается
А вот пруфов не хватает...
да вашему аргументу есть место быть ) но как не исполняемый файл (не php, bash), сможет запустить бекдор или что он там может, выполнить какие то действия ?)

пример с сайта
Код:
http://insafety.org/lfi.php
PHP:
Пример уязвимого LFI (Local file include) PHP скрипта:

Файл http://vulnserver.com/vuln.php
<?
$filename = (string)@$_GET['filename'];
$filename .= '.txt';
if (file_exists($filename)) {
echo htmlspecialchars(file_get_contents($filename)); }
else {
echo "Error!"; }
?>

Вызов скрипта:
http://vulnserver.com/vuln.php?filename=../../../etc/passwd%00

или,как пример:

http://vulnserver.com/vuln.php?filename=config.php%00
(таким образом, не так давно, массово взламывались сайты на WordPress через уязвимость в одном популярном плагине)

Результат:
Атакующий получает конфиденциальные данные с системных и конфигурационных файлов

Векторов эксплуатации и развития LFI атак множество. В большинстве случаев дело заканчивается взломом сайта.
Нередко такой взлом сайта остается незамеченным для администратора ресурса (если целью взлома не был дефейс или уничтожение сайта).
 
а смысл что то обсуждать. если используем https а вам предлагают обычный http то это шляпа иначе зачем https делать было) что бы такие васи не воровали пароли)
 
обязательно меняйте название лога в админке, занимает 15 секунд.
Взлом не взлом, но зачем светить информацию об ошибках кому попало.
 
1. Отключаю вывод ошибок на экран в админке.
2. Переименовываю файл лога.
3. Использую сложные логин и пароль (не сохраняю).
4. Не захожу в админку со смартфона (планшета).
5. Использую модуль
Для просмотра ссылки Войди или Зарегистрируйся
в связи с чем нет необходимости переименовывать папку admin так как url страницы входа в админку приобретает вид что-то типа https: // site.ru/admin/?nulled=cc , при этом не надо переименовывать папку admin в установочных архивах новых модулей.

Можно еще ограничить доступ по ip и установить капчу на страницу авторизации, но это как-то уже слишком.
 
Я конечно все понимаю, но помоему тут все гораздо проще решается через .htacess, разве нет?
И на такую хрень можно вообще не обращать внимания!
 
Назад
Сверху