|
หัวข้อ: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: pooh20240 ที่ 14 มกราคม 2009, 16:53:33 เนืองจากผมประสปปัญหามีคนสามารถเจาะเข่าระบบ Mysql ของเวปไซต์ ของ user ที่สร้างขึ้นสำหรับเว็ปนั้นๆ
แต่เขาไม่สามารถเข้ามาใน root ของ admin ได้ เลยคิดว่าเขาเจาะเข่ามายังเวปครับ โดยผมใช้ apace 2.2 (ใหม่ล่าสุดตอนนี้) Mysql v5 (ใหม่ล่าสุดตอนนี้) รันบน Server 2003 มีติดตั้งระบบไฟล์วอลด้วยคับเป็นแบบโปรแกรม เสริม ไม่ได้ใช้ของ windows มีตนเคยแนะนำไห้เปลียนชื่อ phpmyadmin แต่ ผมไม่สามารถ ปิดโฟเดอร์ phpmyadmin ได้ เนืองจากต้องให้ลุกค้าใช้งาน ไครมีวิธีป้องกันรบกวนแนะนำหน่อยครับ เจอพวกนี้เข่ามาแก้ไข db เล่นซะลูกค้าโวย เลย :-* หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: navico ที่ 14 มกราคม 2009, 16:59:47 เนืองจากผมประสปปัญหามีคนสามารถเจาะเข่าระบบ Mysql ของเวปไซต์ ของ user ที่สร้างขึ้นสำหรับเว็ปนั้นๆ เช็คการเก็บรหัสของ user ที่ว่านั้น แล้วก้อ การล๊อกอิน สำหรับ User นั้นๆ ก่อนสิครับว่มีช่องโหว่ อะไรบ้าง sql injection หรือเปล่าแต่เขาไม่สามารถเข้ามาใน root ของ admin ได้ เลยคิดว่าเขาเจาะเข่ามายังเวปครับ โดยผมใช้ apace 2.2 (ใหม่ล่าสุดตอนนี้) Mysql v5 (ใหม่ล่าสุดตอนนี้) รันบน Server 2003 มีติดตั้งระบบไฟล์วอลด้วยคับเป็นแบบโปรแกรม เสริม ไม่ได้ใช้ของ windows มีตนเคยแนะนำไห้เปลียนชื่อ phpmyadmin แต่ ผมไม่สามารถ ปิดโฟเดอร์ phpmyadmin ได้ เนืองจากต้องให้ลุกค้าใช้งาน ไครมีวิธีป้องกันรบกวนแนะนำหน่อยครับ เจอพวกนี้เข่ามาแก้ไข db เล่นซะลูกค้าโวย เลย :-* หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: pooh20240 ที่ 14 มกราคม 2009, 17:03:02 :-* ขอบคุณครับ
แต่ว่า เช็คการเก็บรหัสของ user ที่ว่านั้น แล้วก้อ การล๊อกอิน สำหรับ User นั้นๆ ก่อนสิครับว่มีช่องโหว่ อะไรบ้าง sql injection หรือเปล่า มันดูตรงไหนอ่าครับ มือใหม่ ขออถัย ช่วยขยายความอีกนิดครับ หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: Thenetwork ที่ 14 มกราคม 2009, 17:29:19 ลง anti เจ๋งๆ ขยันอัพเดท PHPmyadmin ..
เพราะบางทีการเจาะของบุคคลเหล่านั้นใช่ว่าจะมีแค่ 1 วิธี ... สิ่งที่เป็นไปได้อาจจะโดน ยัด Shell เพื่อทำการแก้ใขข้อมูลที่ถูก Chmod 777 หรือ เขาอาจจะนำ User+pass ใน config ของเว็บนั้น เข้าไปสู่ phpmyadmin ปัญหาเหล่านี้ win จะเจอมาก.. หรือ ..อื่นๆ.. รอท่านอื่น ต่อ.. หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: pooh20240 ที่ 14 มกราคม 2009, 17:41:59 ชอบคุณครับ :-*
ไครผ่าน รบกวนแนะนำด้วยนะครับ หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: Pipo ที่ 14 มกราคม 2009, 19:43:51 ช่วยเจาะจงหน่อยว่าโดนทุกเวป หรือแค่เวปเดียวครับ
- ถ้าโดนเวปเดียว อาจเวปนั้นพลาดเอง - ต้องไล่ดู http log ด้วยว่ามีการส่งค่าอะไรแปลกๆ มาบ้าง - phpmyadmin นี่ใช้แบบไหนพอพิมพ์เข้าไปแล้วต้องกรอก password อีกทีด้วยเปล่า - ตั้ง password ง่ายไป หรือตั้งเป็น pattern ที่เดาได้ง่ายหรือเปล่า หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: pooh20240 ที่ 14 มกราคม 2009, 21:19:32 โดนแทบทุกเวปครับ
เท่าที่สืบมาได้ มีคนแอบ แอดเมลไปถามเขาบอกว่าทำผ่านเวป ส่วน phpmyadmin ลองเทสแล้วคับ ต่องกรอด พาส ส่วนพาสนั้นค่อยข้างยากเพราะผม ตั้งเป็นภาษาไทย เวลาพิม หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: Thenetwork ที่ 14 มกราคม 2009, 21:50:00 โดนแทบทุกเวปครับ อันนี้อาจจะเป็นเพราะการใช้งานของลูกเว็บของท่านที่อาจจะใช้ Open Source ที่อาจจะมีช่องโหว่ก็เป็นไปได้..เท่าที่สืบมาได้ มีคนแอบ แอดเมลไปถามเขาบอกว่าทำผ่านเวป ส่วน phpmyadmin ลองเทสแล้วคับ ต่องกรอด พาส ส่วนพาสนั้นค่อยข้างยากเพราะผม ตั้งเป็นภาษาไทย เวลาพิม หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: pooh20240 ที่ 14 มกราคม 2009, 22:55:33 พอจะแนพนำการป้องกัน sql injection ได้ไหมคัรบ พอดีค้นจาก google ดู อ่านแล้วงง
หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: Hari Seldon ที่ 15 มกราคม 2009, 22:05:20 อาจจะเจาะเข้ามาได้อย่างน้อยสองแบบครับ
1. ดัก user name กับ password ตอนลูกค้าเข้า phpmyadmin แก้ได้โดยการเข้า phpmyadmin ผ่าน https:// และตั้ง pwd ยากๆ หน่อย 2. ผ่าน sql injection ในหน้าเว็บ อันนี้งานเยอะหน่อย ต้องตรวจ script ในเว็บทั้งหมด ว่ามีรูรั่วไหม คือทุกครั้งที่เราเดาข้อมูลที่เว็บรับมา query ใน db ต้องใส่ mysql_real_escape() ทุกครั้งก่อนเอาไป query ข้อมูลที่เว็บรับมานี่ ทุกอย่างเลยนะครับ เช่น URL, POST, GET, COOKIE, และ อื่นๆ HTTP_HEADER หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: mama2008 ที่ 15 มกราคม 2009, 22:43:47 :) มีประโยชน์ดี
หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: pooh20240 ที่ 16 มกราคม 2009, 23:39:24 mysql_real_escape() ใส่แค่นี้ก่อนการ คิวรี แล้วจะป้องกัน sql inject ได้เลยช่ายไหมครับ
หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: PAGE ที่ 12 กันยายน 2009, 17:28:58 ไปที่นี่ citec.us ขั้นแรกสมัครให้ได้ก่อน
และไปที่แชทขอความช่วยเหลือ ไม่รู้ได้หรือเปล่านะ มันเป็นแหล่งรมแฮกของประเทศไทยเลย บอกว่า สมัครอยากมาก เราทำ สองวันกว่าถงสมัครได้ พยายามนะงับเราบอกได้เท่านี้แหละ หัวข้อ: Re: รบกวนผู้รุ้แนะนำหน่อยครับ เกียวกับการป้องกันการเจาะเข้าหน้าเวป เริ่มหัวข้อโดย: kanate ที่ 12 กันยายน 2009, 17:30:58 อยากรู้เหมือนกันครับ
|