ugrás a tartalomhoz

PHP filek lophatóak e?

Meli · 2010. Okt. 9. (Szo), 14.39
Sziasztok

Ugyan nem véletlenül használnak php-t motornak, meg stb, de egy ismerősöm azt állítja, hogy állítólag vannak olyan programok, amik képesek letölteni egész honlapot, phpval eggyüt.

Bár nemértem az hogy lehetne, bár én nem értek ehez, de szerinte ha pl egy html file nem jól van hozzákapcsolva egy php motorhoz, könnyen megszerezhetik a php filekat.

Na nemtudom jobban megfogalmazni, szóval állítólag léteznek ilyen hack programok, erről mit gondoltok?

Vajon télleg le lehet lopni mamár a php-kat is?
‹ Apache restart Ékezetes karakter prodlémák wordpressben ›
 
1

FTP és társai

Poetro · 2010. Okt. 9. (Szo), 15.09
Amennyiben valakinek FTP / SCP / SFTP vagy hasonló kapcsolata van egy szerverhez, és be tud lépni abba a könyvtárba ahol a PHP fájl az simán le tudja tölteni a fájljaidat. Egyébként eléggé esélytelen, hacsak nincs valami nagyon elszúrva a szerver beállításaiban. Ugye ilyen hozzáférést szerezéséhez érdemes elolvasni Kevin Mitnick könyveit, mert a legkönnyebb út általában nem a számítógépen, hanem annak kezelőjén keresztül vezet.
2

Tehát akkor

Meli · 2010. Okt. 9. (Szo), 15.27
Tehát akkor, az nem igaz, hogy valamijen program, mint pl a WinHTTrack, és egyéb weboldal letöltő, vagy megbuherált weboldal letöltővel kinézné valaki az oldalam és letölti csak úgy?
3

Alapjából két lehetőség

kuka · 2010. Okt. 9. (Szo), 15.45
Alapjából két lehetőség volna:
  • nem HTTP, hanem valamilyen más protokollon keresztül (lásd a korábban említett FTP, SCP, esetleg telnet)
  • nem közvetlenül, hanem egy másik, sérülékeny szkripten keresztül (http://example.com/kepnezo.php?allomany=es_ide_barmilyen_allomany_nevet_elfogad)

De ez tulajdonképpen nem válasz a "le lehet lopni mamár a php-kat is" kérdésedre, mert ez nem "mamár", hanem mindig is így volt.

És nem, az ilyen sérülékenységek kihasználásához valószínűleg nem WinHTTracket, hanem valami saját szerszámot fognak használni.
4

Nem

Poetro · 2010. Okt. 9. (Szo), 15.53
Bár "valamijen program"-ról nem tudok, de weboldal tükröző / letöltő nem képes erre. Attól még, hogy egy fájlnak .php a kiterjesztése még nem jelenti azt, hogy tartalmazza is az eredeti kódot.
5

köszi a válaszokat

Meli · 2010. Okt. 9. (Szo), 16.57
Erre voltam kiváncsi
6

Olyannal már találkoztam,

szabo.b.gabor · 2010. Okt. 10. (V), 08.04
Olyannal már találkoztam, hogy a szerveren vmiért behalt a php, az apache pedig működött, ilyenkor a php fájlok simán letölthetőek lettek. úgyhogy ha a támadó el tudja érni, hogy a php behaljon, akkor simán látok rá esélyt (ezt persze nem tudom hogy lehet.). mindenesetre ez ellen könnyen védekezhetsz úgy, hogy a 'fontos' php fájlokat a docroot-on kívül rakod..
7

érdemes a belépési ponton

winston · 2010. Okt. 10. (V), 10.09
érdemes a belépési ponton (index.php) kívül minden php filet a docrooton kívül rakni. az index.php-be meg a lehető legkevesebb kódot rakni, tényleg csak belépési pontként használni.
8

.inc és apache

bbaga · 2010. Okt. 12. (K), 08.05
Olyannal találkoztam már, hogy egy szerveren ".inc" kiterjesztést használt a fejlesztő, de az apache nem tudott róla, hogy azt phpként kéne futtatni plusz ha begèpelted a böngészőbe, hogy "xy.hu/includes" akkor kilistàzta a .inc kiterjesztésű fàjlokat.

Így le lehetett tölteni őket.
9

Üzemeltetés

janoszen · 2010. Okt. 12. (K), 08.48
Asszem, erre szokta Kayapo azt mondani, hogy minden programozónak el kellene tölteni néhány honapot a saját maga által írt szoftverek üzemeltetésével.