ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Как защитить пароль от базы данных форума??? |
24.04.2008, 16:19
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Как защитить пароль от базы данных форума???
В общем... такая ситуация.
У меня на сайте стоит форум, ну а там есть файлик config.php в котором пароль от базы в открытом виде.
Форум мой, и приватный, но доступ по ФТП есть не у одного меня, естественно зная пароль от базы можно её скачать и прочитать всё...
Мне предложили интересный способ смысл которого я так и не догнал.
Можно сделать так, положить текстовый файл с паролем от базы данных на какой-нибудь хост, и через .htaccess разрешить к нему доступ определённому файлу. Чтобы считать информацию из текстового файла мог только http://site.com/forum/config.php
Но ринувшись настраивать свой .htaccess столкнулся с траблой, что можно разрешать доступ тока IP адресам, но никак не сайтам напрямую.
Соответственн тут 2 проблеммы.
1) У сайта нету собственного IP адреса, он имеет IP хостера и не более.
2) Даже если-бы и был бы собственный IP, то я так понимаю доступ будет открыт для всего сайта, а не для отдельного файла.
Ну и как последнее это шифровка файла зендом и т.д... но это ясен пень ненадёжный способ...
Что в этой ситуации можно сделать? Как защитить пароль?
|
|
|
24.04.2008, 16:36
|
|
Постоянный
Регистрация: 03.08.2007
Сообщений: 367
Провел на форуме:
876216
Репутация:
209
|
|
А на фтп доступ под одним юзером у всех?
Если под разными, то права правильно выставить...
Еще как вариант обфускация скрипта+зенд, в общем поиграться с различными способами "шифрования" сорца(комбинировать их, возможно)
|
|
|
|
24.04.2008, 16:44
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Сообщение от biophreak
А на фтп доступ под одним юзером у всех?
Если под разными, то права правильно выставить...
Угу под разными, но он льёт шелл и прыгает ко мне в директорию.
какие-бы не были права, прочитать файл то он моежт при любых правах.
Или может как-то к базе привязку можно сделать чтобы войти в базу можно было с определённого скрипта...
|
|
|
|
27.04.2008, 12:13
|
|
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
Провел на форуме:
3493315
Репутация:
1228
|
|
Сообщение от Nightmarе
какие-бы не были права, прочитать файл то он моежт при любых правах.
Ты так думаеш?
На чтение то его закрыть мона, ток вот до пизды все зенды и кодировки, т.к. всегда мона проинклюдить файл и вывести значение переменных
Тогда будет непробиваемая защита пароля, скрипт по адресу:
http://site.com/forum/config.php нельзя удалить или заменить или модифицировать ибо на нём права 444, а на папках права 555, редактированию не подлежат.
А скрипт http://secret.com/script.php отсылает инфу на URL который подменить никак нельзя.
Неа, ты не сможеш скриптом определить с какого файла был запрос, максимум что ты сможеш определить это IP, но это легко обходиться, сам понимаеш....
Последний раз редактировалось nc.STRIEM; 27.04.2008 в 12:17..
|
|
|
|
24.04.2008, 16:38
|
|
Постоянный
Регистрация: 30.12.2006
Сообщений: 434
Провел на форуме:
849583
Репутация:
210
|
|
А права доступа на файл задать нельзя?
или может поместить файл выше корневой директории?
|
|
|
|
24.04.2008, 16:47
|
|
Постоянный
Регистрация: 03.08.2007
Сообщений: 367
Провел на форуме:
876216
Репутация:
209
|
|
Насчет шелла - да, но ты в общем на директорию поставь права нужные...чтобы другие юзеры не могли даже листинг диры глянуть )))
А вот насчет привязки - хз, я лично не сталкивался с этим...
|
|
|
|
24.04.2008, 16:52
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Сообщение от biophreak
Насчет шелла - да, но ты в общем на директорию поставь права нужные...чтобы другие юзеры не могли даже листинг диры глянуть )))
Я не знаю как именно это сделать объясни поподробнее где и как
|
|
|
|
24.04.2008, 16:57
|
|
Banned
Регистрация: 19.12.2007
Сообщений: 924
Провел на форуме:
4192567
Репутация:
2145
|
|
chmod go-rwx config.php
Право на чтение и запись остается только у владельца файла(если ТЫ владелец)
|
|
|
|
24.04.2008, 16:58
|
|
Постоянный
Регистрация: 03.08.2007
Сообщений: 367
Провел на форуме:
876216
Репутация:
209
|
|
Хм, и глянь в общем мануал по chmod, полезная в хозяйстве вещь )
|
|
|
|
24.04.2008, 17:07
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Я это всё прекрасно знаю, но в итоге залив шелл можно прочитать любой файл с любыми правами за исключением прав 000, но тогда и форум пахать не будет.
Выходит кроме крипта способов нету  |
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид