zapraszam was na
http://www.ctb-pl.com/
zobaczcie tam link panel administracyjny i dalej jak sie otowrzy to zobaczcie zrodelko

koles mnie rozwalil az z krzesla spadlem

pozdrawiam

heheheheh fajnie haslo i login zapsac w JS

l: alex
p: heronx

lub po prostu od razu http://www.ctb-pl.com/index.php?go=12

proponuje troche pozmieniac i udac sie na zakupy ;D mozna sobie zlozyc nowego niezlego kompa za kilka zetek

ja wlasnie sie nad tym zastanawialem ale nie daie sie nic nie miac pisze caly czas ze nie moze znalesc edanych produktu

kto zamawia ddr twon mosa 512 z 1 zł?

Fachowcy nie ma co , jeszcze takiego czegoś nie widziałem.

Zamow zamow...a jutro bedziesz mial smefow pod drzwiami. Macie zabawe...a wszystko sie w logach rejestruje. :wink:

A jednak ludzie są życzliwi

http://www.ctb-pl.com/index.php?go=13&act=dodaj

super wiedzieli o bledzie i go poprawili tylko ze mozna jeszcze adminow dodawac

Jakbyś przeczytał to być zobaczył że to juz zamiescilem na forum. Nie zaśmiecaj !

A jednak to prawda, ze admini nigdy sie nie przynadza do bledow

btw: http://www.oldestonewall.com/config.inc

Jak bym widzial ze zamiesciles to bym nie dodawal, ale otworzylem tego topica, sprawdzilem strone i potem wpisalem tego posta, a ty musiales to zrobic w miedzyczasie !

zamawiac nie bede ale jak logi mnie zczaja i smerfy przyjda to nie wpooszcze ;] i taka podobna akcja jak to cale sprawdzanie legalnosci oprogramowania huehue

To jak juz jestesmy przy dawaniu ciala przez adminow i webmasterow to...dla wszystkich posiadaczy komorek - dobra nowina. Otoz serwis wapster.pl korzysta z apletow, ktore w locie generuja melodyjke tak wiec kazy niezalogowany uzytkownik moze podejrzec zrodelko strony, ktora aktualnie gra dana melodyjke i...zgarnac sobie dzwonek nie placac nic...No a jelonki wysylaja smsy za 2,44 + VAT . Nie wiem czy bylo cos kiedys na ten temat, ale ja to odkrylem wczoraj.
Pozdro.

Seth dobre to było wszystki informacje:/ jak zabezpieczyc takie pliki przd otworzeniem?

kubatron dodac rozszeznie .php

http://www.acm.org/sigs/sigda/config.php wcale to nie jest regułą .

ee.. nie popadajmy w skrajnosci jak ktos nie mam serwera php to juz nie moja wina

a najlpeiej to takie sprawy w bazie danych umiescic i zakodowac

http://213.218.116.222/mp3srv.aspx?id=834268 - ehehe shrek z wapstera

Nie no tylko bez takich odpowiedzi ja zapytałem jak ochronić się przed oglądnieciem tych plików a nie zakodowaniem w bazie danych. :wink:
Prosiłbym o odpowiedz ludzi którzy mają doświadczenie z php, i wiedzią jak to zrobić.

nadawalnie im unikalnej nazwy... mysle ze jak nazwiesz sobie plik z cnofigkieg tak 234kfasdw3453fesdf.php to raczje malo kto do niego trafi prawda?

albo skorzystanie z pliku htacces i zablokovawnie dostapu do katalogu gdzie znajduja sie takie pliki...

zabezpieczenie ich dodatkowym logowaniem?

wiesz z tą nazwą to niejest najlepszy sposób bo to napewno jakoś spradzić. a co do reszty nieprotestuje lecz mało skuteczne.
Poszukuje coś takiego że jeżeli się niezalogujesz do do stron w katalogu admin niemasz dostępu.

http://forum.php.pl/viewtopic.php?t=9279

.htacces

Seth, a wiesz moze dlaczego mi <Directory> w pliku .htaccess nie dziala ? Ani po localu, ani na serverze. Pozatym gdzies czytalem ze opcje <Directory> mozna dac tylko z poziomu httpd.conf : (

I jeszcze jeden problem, chce zabronic dostepu do 2 plikow w katalogu w ktorym jest .htaccess

Ale robiac tak, zabraniam dostepu do plikow o takiej nazwie w danym katalogu i wszystkich innych podkatalogach, jak to zrobic zeby zabronic tylko w tym katalogu ? Bo w innym podkatalogu mam plik db.php do ktorego musi byc dostep z poziomu www

Mozesz umiescic w podkatalogu jeszcze jeden .htaccess i nadpisac prawa dostepu.

Wystarczy zrobić tak jak to jest np. w phpBB
Przeciez pliki tego typu są includowane. W pliku z którego wczytujemy ustalamy stałą a w config.php sprawdzamy, czy taka stała istnieje. Jeżeli nie to exit; i po problemie :]

Tylko tutaj chodzi o to, ze .inc nie jest parsowane przez php, wiec i dostep do niego jest otwarty.

Kazać apachowi wysyłać pliki *.inc na parsowanie do php No i jeszcze można w pliku .htacces (o ile nasz apache je obsługuje) wpisać magiczne słowa DENY FOR ALL

Wiem. Mi chodziło o pliki php, bo to kteś to poruszył
A co do .inc To moze poprostu nadać odpowiednie prawa do braku odczytu :?:
BTW. No i na co wam na komórke melodyjki w formacie .mp3

No ładnie, nie zorientowałem sie że jest druga strona tematu i napisałem odpowiedź Hihi, chyba czas iść spać

To i ja coś dorzuce:
http://www.unrealfiles.com/files/listkeys/lefttable.i
http://www.unrealfiles.com/include/config.i (kiedyś działał)

Tak znalezione na szybko:
http://realmadrid.pl/admin/config.inc
http://www.swidnica.cimap.pl/config.inc
http://www.rynski.pl/config.inc

Mam pytanie:
Jak takie "błędy" znajdujecie. Przecież niemacie dostępu do zródełek, aby odgadnąc gdzie jest plik (z jakiego katalogu) includowany.

Inne ciekawostki:
http://realgsd.info/config.inc.php
http://www.sig-auction.com/includes/config.inc.php
http://www.nadamu.com.cn/ny/config.inc.php
http://www.awebcamgirl.com/site/config.inc.php
*http://cyber.edu.hel.fi/koulumuseo/config.inc
http://www.herkes.org/homework/config/config.inc.php
http://www.bjmuma.com/english/config.inc.php
http://www.ge.pl/inc/funkcje.inc hehe

Starczy tego upokarzania

Zabawne... To było cały czas? Czy dopiero po Waszych nocnych zabawach ?

Pozdrawiam.

Nawet marszalek ma bugi

GJ DzikOS http://www.rynski.pl/config.inc

A jeżeli mam serwer na internecie to jak moge wejśc do tego pliku .htacces bo troche niewiem i czy to zabezpiecza pliki na 100% dobrze, i jak można zrobić coś takiego jak w phpbb że dopiero po zalogowaniu można ujżeć pliki z katalogu admin :wink:
Dzięki wszystkim i administratorą również.

no nie, jak zobaczylem ten topic to normalnie

a tak BTW. Można stosować chmody dla configów najlepsze 666

e no ja niewiem jak na necie na serwerze mam ten plik

stary to proste, laczysz sie przez gftp, klikasz prawym przyciskiem myszy na plik i dajesz ustaw chmod, albo laczysz sie przez mc i wpisujesz chmod 0666 nazwa.pliku proste :?: i na pewno dziala

nieprawda. najlepsze chmody 000 zmieniane tylko na czas odczytu. Oczywiście rozwiązanie niepewne. Jeżeli właścicielem pliku jest właściciel procesu httpd to najlepiej dac chmod 400

ale przy 666 nie musisz przedluzac czasu wykonania skryptu, a pozatym nie musisz sie bawic w zmienianie wlasciciela przy uploadzie

ale czemu 666? To już lepiej 444.

panowie a jęsli mam system logowanie to niewejde wtedy do pliku

z ciekawości postanowiłem to sprawdzić bo nie powiem mnie zainteresowało
i co bez problemu weszłem do phpmyadmin
i mogłem sobie wykasowac baze itp.

po czym wysłałem maila do admina że mają dziure.
i co zadnej odpowiedzi i dalej można wejść

nie wiem czy to na pokaz zrobione jest czy jak ale chyba nie powinno byc dostepu do czegoś takiego nawet jest to jest testowe konto !

macie jakies zdanie na to?

Może zrobili ta strone tylko na pokaz by zobaczyc jaki jest poziom obeznania w zabezpieczeniach w poslkim internecien np.: potem zrobia jakis artukul o tym? Z 2 strony jakby odkryli taka fatalna dziura w takiej stronie to czy bys sie przyznal ze to nei dopatrzenie czy wciskal kit ze tak ma byc ?

Ja wam powiem tak:
zanim zabierzecie się za krytykowanie innych, pousuwajcie na swoich kompach (np. z phpmyadmina) konta użytkowników "root" z pustym hasłem i dowolnym hostem, bo wszystko stoi otworem Ale najpierw utwórzcie sobie jednego użytkownia z hasłem i hostem localhost żebyście mogli do bazy wejść

Czekam
Ciekaw jestem tylko jak sie prze firewala przebijesz

Ee a po co sie przebijać? Przecież chyba nie masz zablokowanego portu 80 na wejściu do kompa?