มีวิธีป้องกัน meta refresh ไหมครับ ชอบโดนฝัง

MaFiaVza · 14 พฤษภาคม 2012, 11:44:56

เว็บ ZONEVDO.COM ผมชอบโดนฝั่ง meta ในบทความประจำเลย ไม่รู้ว่ามันเข้ามาช่องทางไหน ไอที่มันชอบฝังก็จะเป็นแนวๆนี้ <meta content="0; URL=http://toplist.raidrush.ws/vote/loads7/" http-equiv="refresh" />

จะมีวิธีแก้ หรือทำให้ไอโค๊ดนี้ใช้งานไม่ได้เมื่อมันมาอยู่ในบทความหรือเปล่าครับ

ขอบคุณครับ

MaFiaVza · 14 พฤษภาคม 2012, 14:01:28

มีผู้รู้ผ่านมาเห็นบ้างไหมครับ

MeenyFancy · 14 พฤษภาคม 2012, 14:01:55

โดนสุ่มแฮกครับ

ทำตามนี้นะครับ
1. เปลี่ยนชื่อไฟล์ login ของ admin ซะ จากเดิม login.php ก็เปลี่ยนเป็น a123s.php อะไรงี้ เอาแบบนี้เราจำได้คนเดียว (จดไว้ด้วยนะ)
2. ดูรูปนะครับ

2.1 ตรงที่ตีกรอบ ไว้ครับ เปลี่ยนชื่อ เปลี่ยน data ให้หมดครับโดยเฉพาะตัวแปร do=search สมัยก่อนอาจจะเรียนมาว่า ตั้งชื่อตัวแปร ควรให้สื่อความหมาย แต่ที่ตั้งไว้นั้นเืพื่อให้เราเข้าใจ ไม่ต้องให้คนอื่นเข้าใจ แนะนำครับ เก็บใน session แล้วตั้งชื่อ session ใ้ห้มัน ไม่สื่อ ความหมาย
ตัวอย่าง index.php?qr=7115047&qt=a7d384&et=6d84921357
แบบนี้ hacker เทพที่ไหนมาก็ไม่เข้าใจครับ แต่ก็ใช่ว่าจะแฮกไม่ได้นะ
2.2 Validate input คือการป้องกัน input แบบแปลกๆ เช่นเครื่องหมาย tag (>,<) เครื่องหมาย quote(') เครื่องหมาย dash(-)

ถ้าทำตามนี้ได้ ก็ป้องกันแฮกได้เกินกว่า 80% แล้วครับ สู้ๆ

itportal · 14 พฤษภาคม 2012, 14:25:46

1. เปลี่ยน password ทั้งหมดครับ ทั้ง hosting database ftp ฯลฯ (ที่ให้เปลี่ยนหมด ก็เพื่อความแน่ใจ)
2. อย่าเซฟ password ในโปรแกรม ftp ไม่ว่าจะใช้โปรแกรมอะไรอยู่ก็ตาม
3. ต้องแน่ใจด้วยว่า เครื่องคอมพิวเตอร์คุณเอง ก็ปลอดภัย ไร้มลพิษ
4. พยายามหาว่ามีไฟล์แปลกๆ ในโฮสติ้งของเราหรือไม่ ถ้ามี และแน่ใจว่าไม่ใช่ไฟล์ของเรา ให้ลบทิ้งซะ (อาจขอให้ผู้ให้บริการโฮสติ้งช่วย) หรือ อัพโหลดไฟล์ทับของเดิม หรือ จะลบทิ้งทั้งหมด แล้วอัพโหลดก็แล้วแต่ครับ

placarp · 14 พฤษภาคม 2012, 14:26:57

ขอบคุณ ครับ

MaFiaVza · 14 พฤษภาคม 2012, 18:20:56

อ้างถึงจาก: MeenyFancy ใน 14 พฤษภาคม 2012, 14:01:55
โดนสุ่มแฮกครับ

ทำตามนี้นะครับ
1. เปลี่ยนชื่อไฟล์ login ของ admin ซะ จากเดิม login.php ก็เปลี่ยนเป็น a123s.php อะไรงี้ เอาแบบนี้เราจำได้คนเดียว (จดไว้ด้วยนะ)
2. ดูรูปนะครับ

2.1 ตรงที่ตีกรอบ ไว้ครับ เปลี่ยนชื่อ เปลี่ยน data ให้หมดครับโดยเฉพาะตัวแปร do=search สมัยก่อนอาจจะเรียนมาว่า ตั้งชื่อตัวแปร ควรให้สื่อความหมาย แต่ที่ตั้งไว้นั้นเืพื่อให้เราเข้าใจ ไม่ต้องให้คนอื่นเข้าใจ แนะนำครับ เก็บใน session แล้วตั้งชื่อ session ใ้ห้มัน ไม่สื่อ ความหมาย
ตัวอย่าง index.php?qr=7115047&qt=a7d384&et=6d84921357
แบบนี้ hacker เทพที่ไหนมาก็ไม่เข้าใจครับ แต่ก็ใช่ว่าจะแฮกไม่ได้นะ
2.2 Validate input คือการป้องกัน input แบบแปลกๆ เช่นเครื่องหมาย tag (>,<) เครื่องหมาย quote(') เครื่องหมาย dash(-)

ถ้าทำตามนี้ได้ ก็ป้องกันแฮกได้เกินกว่า 80% แล้วครับ สู้ๆ

ตรง login ผมเปลี่ยนไปนานมากแล้ว และก็คิดว่ามันหาย แต่ซักพักก็กลับมาฝังใหม่ และมันเข้าใจฝังถูกเรื่องด้วย เรื่องที่มักติดคีย์เวิร์ดหน้าแรก มันฝังประจำ ส่วนเรื่องเปลี่ยน session อาจจะเป็นเรื่องยากสำหรับผม แต่เดี๋ยวจะลองพยายามดูครับ

MeenyFancy · 14 พฤษภาคม 2012, 18:42:04

อ้างถึงจาก: MaFiaVza ใน 14 พฤษภาคม 2012, 18:20:56

ตรง login ผมเปลี่ยนไปนานมากแล้ว และก็คิดว่ามันหาย แต่ซักพักก็กลับมาฝังใหม่ และมันเข้าใจฝังถูกเรื่องด้วย เรื่องที่มักติดคีย์เวิร์ดหน้าแรก มันฝังประจำ ส่วนเรื่องเปลี่ยน session อาจจะเป็นเรื่องยากสำหรับผม แต่เดี๋ยวจะลองพยายามดูครับ

pm link ไฟล์ที่ยังไม่ได้แก้ ให้ดูหน่อยได้มั้ยครับ เผื่อช่วยอะไรได้

kobkung · 16 พฤษภาคม 2012, 18:27:19

เวบคุณเองหรือ ผมแอบไปดูหนังประจำ อย่าไปบอกใคร

มันฝังเข้าเบสเลยหรือเปล่า ถ้าใช่ลองเปลี่ยนตัวแปรในโค้ดดู เป็น opensource ป่าวผมจำไม่ได้เวบคุณ
ปกติที่ผมเคยแก้ให้ลูกค้า คือ เวบพวกใช้ opensource โดนบ่อย มันจะแทรกโค้ดไปในช่อง textbox เพื่อส่งไฟล์เข้าไป
จากนั้นมันรันไฟล์ให้ดึง connect จากไฟล์ connect base เพราะมันรู้ที่เก็บ config เรา แล้วสั่ง update
พวกนี้เปลี่ยน password ไม่พอ ต้องปรับชื่อตัวแปร ชื่อไฟล์เอา

เจอหนักๆ คือมันเล่นส่ง xml ออกไปเลยก็มี เอาเราทำ web service ให้มันซะงั้น บางทีก็อัพโหลดพวกไฟล์ file manager เข้าไป
แค่ php ไฟล์เดียว เห็นหมดไส้หมดพุง