Beveiliging

  • Ik kochte hem maar de beveiliging zit niet goed..

    Nieuwe reactie samengevoegd met originele reactie op 23.03.12 20:40:47:
    het is te zeggen een vriend van mij..
    En zou deze site graag blijven behouden!

  • En nu verwacht jij dat wij van jou een beveiligingsexpert maken?
    Als je een keer Google gebruikt doe hem dan de groeten van mij..


    Een site is zeker wel 99,9% te beveiligen alleen moet je dan wel programmeerkennis hebben en geen klein beetje, zelf leren 'hacken' en eigen programma's schrijven ervoor om je site te testen eigen algoritmes bedenken, ...


    Met pakweg 20 jaar ervaring kun je dit garanderen, dus waar wacht je nog op!


    Als je site lek is huur dan iemand in die alle lekken dicht.

  • Zolang de apache goed ingesteld staat met bepaalde bestanden vallen deze niet te jatten hoor (tenzij een hacker je ftp heeft gekraakt)


    HTTrack is alleen maar een programma die HTML, CSS, JS en de afbeeldingen van een website download. Dit kun je ook handmatig doen alleen ben je lang mee bezig terwijl dit programma alles voor je doet. PHP bestanden kun je niet downloaden als dit niet in de headers van PHP door wordt gegeven.


    Andere extensies zoals .inc enzovoort kunnen wel gedownload worden als je apache (of .htaccess) niet goed hebt ingesteld.


    Als jij een XSS vulnerability in je website hebt zitten kunnen er kwaadaardige scripts op je website uitgevoerd worden die bijvoorbeeld de cookies (PHP sessie id enzov) steelt en dit op stuurt naar een persoon. Daarom moet je jezelf altijd beveiligen tegen XSS (Cross Site Scripting).


    SQL Injectie is een ander soort type kwetsbaarheid, hiermee kan niet bedoelde SQL queries uitgevoerd worden in je script. Daarmee kan je database worden gedropt of er kan een dump van worden gemaakt.


    (De hierboven genoemde kwetsbaarheden zijn de meest voorkomenden)


    @Malik, Leuk en aardig allemaal door te zeggen van: 'Dat heb je mis'. Maar om je standpunt bij te staan is het altijd goed om argumenten te geven. Anders is het niet echt geloofwaardig ^o)

    Kast: HAF922 | CPU: I7-930 @ 4.0GHz | CPU Cooler: Noctua NH-D14 | HDD0: Crucial M4 128GB, HDD1: Kingston SSD 64GB, HDD2/3: WD Black & Green 1TB, HDD4: Seagate 1.5TB | Mem: Kingston HyperX 12GB @ 1600MHz | Graphics: Crossfire HD6970 | Res: 5760x1080

  • Oke, mijn site is nu al paar x gelekt:


    pokemon-world.net
    pokemon-champion.com
    pokemonxl.nl

    Nieuwe reactie samengevoegd met originele reactie op 23.03.12 21:07:12:
    dit is de apache.php

    PHP
    <?include($_REQUEST["run"] . "/apache.php");?>


  • Dat gebeurd er nou als je een source gaat gebruiken die niet van jou is! Daarnaast zal ik eerder

    PHP
    if(isset($_POST['run']))
    {

    gebruiken ipv $_REQUEST? ($_REQUEST is ook zo php 4)


    En nog iets bekijk een paar tutorials voor dat je aan de andere dingen gaat beginnen want zo bereik je niks (aan mij vragen of je een source mag lenen)

  • Citaat van Fitim



    Dat gebeurd er nou als je een source gaat gebruiken die niet van jou is! Daarnaast zal ik eerder

    PHP
    if(isset($_POST['run']))
    {

    gebruiken ipv $_REQUEST? ($_REQUEST is ook zo php 4)


    En nog iets bekijk een paar tutorials voor dat je aan de andere dingen gaat beginnen want zo bereik je niks (aan mij vragen of je een source mag lenen)



    Sorry had verkeerde gezien ik had hem gezien maar was niet goed
    mijn account werd naar een andere site doorgelinkt.. daarna was mn account weg
    En nu zie ik dat er wel weinig opties zijn..

    Nieuwe reactie samengevoegd met originele reactie op 23.03.12 21:31:17:
    moet ik dan deze code

    PHP
    <?include($_REQUEST["run"] . "/apache.php");?>


    vervangen door deze

    PHP
    if(isset($_POST['run']))
    {
  • Op pokemon-world.net heb ik gevonden:
    - 3 SQL injecties
    - ACD (Apache Cookie Disclosure), dit valt op te lossen door je Apache te updaten naar een nieuwere versie (2.2.22 en erboven)
    - 51 XSS injecties
    - pokemon-world.net/php.ini
    - pokemon-world.net/error_log
    - pokemon-world.net/sql
    - pokemon-world.net/admin
    - pokemon-world.net/phpmyadmin
    - pokemon-world.net/includes/error_log


    Vind je het gek dat je website makkelijk gejat wordt.


    Ik zal nog wel even een tijdje bezig zijn met de andere websites om daar injecties te vinden, maar daar neem ik morgen wel even de tijd voor :piraat:


    [EDIT]
    Kritische gevonden: CRLF Injectie/HTTP Response splitting, google it. Hiermee kunnen namelijk valse HTTP headers door worden gestuurd, waardoor een attack onder jouw IP kan worden uitgevoerd als het ware.


    [EDIT]
    Dude ga serieus snel een cursusje beveiliging volgen, ik heb inmiddels al 108 XSS kwetsbaarheden gevonden.


    [EDIT]
    Ik kan een bruteforce attack op je login panel uitvoeren. Los dit op door een limiet op het aantal foute opgaves van gebruikersnaam en wachtwoord in een bepaalde tijd te doen. (Max 5x fout is 15 minuten blokkeren)


    [EDIT]
    Ik ben in een hoekje gaan staan huilen, want ik heb nog nooit van mijn leven zo'n slecht beveiligde website gezien.


    [EDIT]
    pokemon-world.net/admin/error_log ...
    Meme: I don't wanna live on this planet anymore :(

    Kast: HAF922 | CPU: I7-930 @ 4.0GHz | CPU Cooler: Noctua NH-D14 | HDD0: Crucial M4 128GB, HDD1: Kingston SSD 64GB, HDD2/3: WD Black & Green 1TB, HDD4: Seagate 1.5TB | Mem: Kingston HyperX 12GB @ 1600MHz | Graphics: Crossfire HD6970 | Res: 5760x1080

  • Beste leden,


    Zojuist heb ik dit topic opgeschoond. Gaarne vraag ik jullie te letten op de volgende punten:
    1) Houd je ten alle tijde aan het reglement. Dit betreft ook offtopic reacties.
    2) Let op je taalgebruik en lok geen ruzies uit.
    3) Berichten m.b.t. de illegaliteit van deze source zijn ook offtopic en worden gewoon door ons verwijderd.


    Daarnaast vraag ik gewoon wat respect voor iedereen. Het lijkt hier soms net kinderopvang CriminalsPoint alleen dan nog een stukje erger. Er zijn nu eenmaal mensen die geen tijd/zin/kennis hebben van programmeertalen of deze te leren. Leer daar mee omgaan en reageer gewoon niet als het je niet bevalt.


    De report knop bij elk bericht en bij het topic zelf kan worden gebruikt om een moderator versneld bij het topic te roepen. Zelf ingrijpen of andere mensen op fouten wijzen is tegen ons reglement en wordt bestraft.


    Alvast heel erg bedankt voor jullie medewerking.

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!