ต่อไป »

[pooh20240]

 เนืองจากผมประสปปัญหามีคนสามารถเจาะเข่าระบบ Mysql ของเวปไซต์ ของ user ที่สร้างขึ้นสำหรับเว็ปนั้นๆ
แต่เขาไม่สามารถเข้ามาใน root ของ admin ได้

เลยคิดว่าเขาเจาะเข่ามายังเวปครับ

โดยผมใช้

apace 2.2 (ใหม่ล่าสุดตอนนี้)
Mysql  v5 (ใหม่ล่าสุดตอนนี้)
รันบน Server 2003
มีติดตั้งระบบไฟล์วอลด้วยคับเป็นแบบโปรแกรม เสริม ไม่ได้ใช้ของ windows


มีตนเคยแนะนำไห้เปลียนชื่อ phpmyadmin แต่
ผมไม่สามารถ ปิดโฟเดอร์ phpmyadmin ได้ เนืองจากต้องให้ลุกค้าใช้งาน


ไครมีวิธีป้องกันรบกวนแนะนำหน่อยครับ เจอพวกนี้เข่ามาแก้ไข db เล่นซะลูกค้าโวย เลย

 

[navico]

เนืองจากผมประสปปัญหามีคนสามารถเจาะเข่าระบบ Mysql ของเวปไซต์ ของ user ที่สร้างขึ้นสำหรับเว็ปนั้นๆ
แต่เขาไม่สามารถเข้ามาใน root ของ admin ได้

เลยคิดว่าเขาเจาะเข่ามายังเวปครับ

โดยผมใช้

apace 2.2 (ใหม่ล่าสุดตอนนี้)
Mysql  v5 (ใหม่ล่าสุดตอนนี้)
รันบน Server 2003
มีติดตั้งระบบไฟล์วอลด้วยคับเป็นแบบโปรแกรม เสริม ไม่ได้ใช้ของ windows


มีตนเคยแนะนำไห้เปลียนชื่อ phpmyadmin แต่
ผมไม่สามารถ ปิดโฟเดอร์ phpmyadmin ได้ เนืองจากต้องให้ลุกค้าใช้งาน


ไครมีวิธีป้องกันรบกวนแนะนำหน่อยครับ เจอพวกนี้เข่ามาแก้ไข db เล่นซะลูกค้าโวย เลย

 

เช็คการเก็บรหัสของ user ที่ว่านั้น แล้วก้อ การล๊อกอิน สำหรับ User นั้นๆ ก่อนสิครับว่มีช่องโหว่ อะไรบ้าง sql injection หรือเปล่า

[pooh20240]

   ขอบคุณครับ

แต่ว่า

เช็คการเก็บรหัสของ user ที่ว่านั้น แล้วก้อ การล๊อกอิน สำหรับ User นั้นๆ ก่อนสิครับว่มีช่องโหว่ อะไรบ้าง sql injection หรือเปล่า

มันดูตรงไหนอ่าครับ มือใหม่ ขออถัย ช่วยขยายความอีกนิดครับ

[Thenetwork]

ลง anti เจ๋งๆ ขยันอัพเดท PHPmyadmin .. 
เพราะบางทีการเจาะของบุคคลเหล่านั้นใช่ว่าจะมีแค่ 1 วิธี ...

สิ่งที่เป็นไปได้อาจจะโดน ยัด Shell เพื่อทำการแก้ใขข้อมูลที่ถูก Chmod 777 หรือ เขาอาจจะนำ User+pass ใน config ของเว็บนั้น เข้าไปสู่ phpmyadmin ปัญหาเหล่านี้ win จะเจอมาก.. หรือ ..อื่นๆ.. รอท่านอื่น ต่อ..

[pooh20240]

ชอบคุณครับ

ไครผ่าน รบกวนแนะนำด้วยนะครับ

[Pipo]

ช่วยเจาะจงหน่อยว่าโดนทุกเวป หรือแค่เวปเดียวครับ
- ถ้าโดนเวปเดียว อาจเวปนั้นพลาดเอง
- ต้องไล่ดู http log ด้วยว่ามีการส่งค่าอะไรแปลกๆ มาบ้าง
- phpmyadmin นี่ใช้แบบไหนพอพิมพ์เข้าไปแล้วต้องกรอก password อีกทีด้วยเปล่า
- ตั้ง password ง่ายไป หรือตั้งเป็น pattern ที่เดาได้ง่ายหรือเปล่า

[pooh20240]

โดนแทบทุกเวปครับ
เท่าที่สืบมาได้ มีคนแอบ แอดเมลไปถามเขาบอกว่าทำผ่านเวป

ส่วน phpmyadmin ลองเทสแล้วคับ ต่องกรอด พาส ส่วนพาสนั้นค่อยข้างยากเพราะผม ตั้งเป็นภาษาไทย เวลาพิม

[Thenetwork]

โดนแทบทุกเวปครับ
เท่าที่สืบมาได้ มีคนแอบ แอดเมลไปถามเขาบอกว่าทำผ่านเวป

ส่วน phpmyadmin ลองเทสแล้วคับ ต่องกรอด พาส ส่วนพาสนั้นค่อยข้างยากเพราะผม ตั้งเป็นภาษาไทย เวลาพิม

อันนี้อาจจะเป็นเพราะการใช้งานของลูกเว็บของท่านที่อาจจะใช้ Open Source ที่อาจจะมีช่องโหว่ก็เป็นไปได้..

[pooh20240]

พอจะแนพนำการป้องกัน sql injection ได้ไหมคัรบ  พอดีค้นจาก google ดู อ่านแล้วงง

[Hari Seldon]

อาจจะเจาะเข้ามาได้อย่างน้อยสองแบบครับ

1. ดัก user name กับ password ตอนลูกค้าเข้า phpmyadmin

แก้ได้โดยการเข้า phpmyadmin ผ่าน https:// และตั้ง pwd ยากๆ หน่อย

2. ผ่าน sql injection ในหน้าเว็บ

อันนี้งานเยอะหน่อย ต้องตรวจ script ในเว็บทั้งหมด ว่ามีรูรั่วไหม
คือทุกครั้งที่เราเดาข้อมูลที่เว็บรับมา query ใน db ต้องใส่
mysql_real_escape() ทุกครั้งก่อนเอาไป query

ข้อมูลที่เว็บรับมานี่ ทุกอย่างเลยนะครับ เช่น
URL, POST, GET, COOKIE, และ อื่นๆ HTTP_HEADER

[mama2008]

  มีประโยชน์ดี

[pooh20240]

mysql_real_escape()    ใส่แค่นี้ก่อนการ  คิวรี  แล้วจะป้องกัน sql inject ได้เลยช่ายไหมครับ

[PAGE]

ไปที่นี่ citec.us ขั้นแรกสมัครให้ได้ก่อน
และไปที่แชทขอความช่วยเหลือ ไม่รู้ได้หรือเปล่านะ
มันเป็นแหล่งรมแฮกของประเทศไทยเลย
บอกว่า สมัครอยากมาก เราทำ สองวันกว่าถงสมัครได้ พยายามนะงับเราบอกได้เท่านี้แหละ

[kanate]

อยากรู้เหมือนกันครับ