Beste Cpers,
Het is me laatst opgevallen dat er hackers zijn die je scripts kunnen rippen zonder inlog gegevens van ftp.
(php gedeelte dus niet html)
Nou is mijn vraag hoe en wat kan je er tegen doen?
Alvast bedankt voor jullie hulp.
Met vriendelijke groeten,
Malik
Dit kan gebeuren mits er in je url staat: id=3 of user=name of als ze hierachter kunnen komen.
Via deze url kunnen ze indien mogelijk je database hacken via MySQL injection. Hierdoor krijgen zij jou database gegevens, indien deze hetzelfde zijn als je ftp gegevens kunnen ze erin 
Dus zorg er gewoon voor dat je een verschillend wachtwoord hebt voor alles + nergens iets=iets hebt staan.
Als root op de servers inloggen werkt natuurlijk ook.
Wat ook voorkomt is natuurlijk de welgekende XSS injection via het zoeken
bboy kan je met sql/xss injecties ook de php script achterhalen? want volgens mij was alleen database leegmaken.
@BrokenTrack Persoon heeft van niks de inlog of bedoel je iets anders?
Want ik ken wel een paar mensen die me gewoon letterlijk een script van me hebben laten zien...
bboy kan je met sql/xss injecties ook de php script achterhalen? want volgens mij was alleen database leegmaken.
@BrokenTrack Persoon heeft van niks de inlog of bedoel je iets anders?
Want ik ken wel een paar mensen die me gewoon letterlijk een script van me hebben laten zien...
Je site is gehost op een server. Een server heeft een OS, zoals Debian, CentOS of Windows. Je kan dus ook op de server inloggen met alle bestanden op. Als de hacker als root inlogd (dus administrator) dan kan hij natuurlijk bij alle bestanden. Dus ook je scripts.
Persoon heeft geen inlog gegevens tot server/ftp/db
Hij doet het via buitenaf, dus vind het best raar.
Ook vanaf buitenaf kan je inloggen op de servers
En staat er nergens een ip van hem in? in de logfiles of in directadmin ofzo?
nop niks
Vrij simpel, gebruik je criminals met een captcha code of iets in die richting ?
Ga eens met google chrome naar de website en klik eens met de rechtmuisknop, dan element inspecteren weergeven.
En surf daar eens rond? Dan heb je alles wat je moet hebben!
Citaat van brentvdhGa eens met google chrome naar de website en klik eens met de rechtmuisknop, dan element inspecteren weergeven.
En surf daar eens rond? Dan heb je alles wat je moet hebben!
Ja natuurlijk, dat is client-side daar krijg je niet de server-side gedeelte hoor...
Dan krijg je toch alleen de html?
Citaat van Dpm_xDan krijg je toch alleen de html?
Klopt, zo gemakkelijk zal het niet zijn om de PHP oid zou wel leuk zijn maar nee zo werkt dat niet.
Ja, maar dan kan je er nog heel wat mee doen hoor.
Bij mij hebben ze heel mijn website er zo af kunnen halen.
Citaat van brentvdhJa, maar dan kan je er nog heel wat mee doen hoor.
Bij mij hebben ze heel mijn website er zo af kunnen halen.
Kan ik nog veel sneller, voer een URL in een programma en hij download alles van client-side.
Wat heb je daaraan dan, helemaal niks want het is ook nog eens illegaal om te gebruiken.
Ja, dat weet ik ook wel dat het illegaal is :p
Maar sommigen trekken hun daar helaas helemaal niks van aan, en probeer hun website dan maar eens online te krijgen zonder advocaat.
@Malik
In sommige criminals code zit een captcha waarmee een config uitgelezen kan worden (PHP dus).
Denk dat je fout daar zit, meeste criminals sources zijn zo slecht maar niemand weet dit.
Daarmee bedoel ik dat je van alles kan uitvoeren op de gedownloade code.
Heb je nog geen account? Registreer je nu en word deel van onze community!
