 |
Форум вебмастеров на AlfaSpace.NET / The Matrix Has You / password.pwd и siteman |
| Автор | Сообщение |
| orc Soul keeper  314 |
# Дата: 9 Май 2006 12:02 Меня пугает то что в siteman в этом файле пароль админа храниться в незашифрованом виде!!! Чё делать и как быть? ЗЫ: права доступа к нему какие ставить? ЗЗЫ: Нужен срочный ответ |
| Voyager Участник  247 |
# Дата: 9 Май 2006 15:10 Ну и что что в незащищенном, .htaccess не дает к нему доступа. На passwd.pwd ставь 644 или 600. |
| acsid Alfa Guru  2388 |
# Дата: 9 Май 2006 15:13 » orc Чё делать и как быть? пойти на оф саит , используя уязвимость проникнуть в админку и написать в новостях типа :вот който такойто баг лучше бы исправить..) |
| Константин TorrentMaster 3449 |
# Дата: 9 Май 2006 15:28 orc ну так храни в зашифрованом и исправь руками механизм авторизации - я думаю там 1 раз проверяется пароль именно оттуда, а в остальных случаях - из текущей сессии или куков. исправить в одном месте авторизацию не должно быть сложно |
| Александр Леонидович  1046 |
# Дата: 9 Май 2006 15:35 В вуду чате тоже не зашифрован(в php прописуеца) - и никаких htaccess в сборке нет - разработчик-приколист даже в факе не упоминает про него. Догадываюсь сколько чатов так стоят...  |
| Константин TorrentMaster 3449 |
# Дата: 9 Май 2006 15:39 А потом сходи на офсайт и скажи, что ты багу не только нашел, но и пофиксил и вот апдейт. |
| Константин TorrentMaster 3449 |
# Дата: 9 Май 2006 15:42 » Александр (в php прописуеца) Это не особо страшно как раз, если конечно не на бесплатном хостинге стоит скрипт + нет возможности лазать по чужим дирам. Кстати надо бы эту тему ко мне в раздел перенести... Все-таки в 911 она не очень... сейчас перенесу... |
| acsid Alfa Guru 2388 |
# Дата: 9 Май 2006 23:28 » Александр вуду чате тоже не зашифрован(в php прописуеца)ну понимаешь если ты грамотно ставишь этот чат то ты перенёсёшь папку дата туда где её никто не найдёт, в этом случае хэшь и не нужен.. |
| orc Soul keeper 314 |
# Дата: 10 Май 2006 07:05 Константин Ручки кривые  Мож ты поможеш? |
| Константин TorrentMaster 3449 |
# Дата: 10 Май 2006 08:00 orc 1. находишь форму логина 2. смотришь в поле action 3. открываешь тот файл, который указан в action 4. находишь, где впервые используются переменные логина и пароля, переданные из формы 5. ищешь место, где они сравниваются с тем, что лежит в указанным с первой твоей мессаге файле 6. правишь проверку 7. правишь файл с паролем админа |
| acsid Alfa Guru 2388 |
# Дата: 10 Май 2006 09:02 этого может быть мало ..там строго ещё и в кукисы или сессии закидивается что-то а потом проверяется на других страницах |
| Константин TorrentMaster 3449 |
# Дата: 10 Май 2006 09:21 acsid ну так и пусть оно в кукисах и сессиях незашифрованным хранится. целью было только изменить первоначальную проверку... Обычно в кукисы и сессии не закидывается сам пароль, максимум какой-нибудь хеш. Не верю, что при каждой проверке идет чтение из password.pwd |
| orc Soul keeper 314 |
# Дата: 11 Май 2006 14:18 Тобиш если я всё правильно понимаю, то закрыв доступ из .htaccess будет сё ок?  |
| acsid Alfa Guru 2388 |
# Дата: 11 Май 2006 15:03 orc да |
| Анна Участник  2891 |
# Дата: 11 Май 2006 15:16 Если с правами не накосячит |
| orc Soul keeper 314 |
# Дата: 12 Май 2006 07:30 Анна Уж постараюсь |
![[Valid RSS]](valid-rss.png "Validate my RSS feed")