Tomi írta:Ki beszél itt más számítógépéről? Feltörhetetlen szerver pedig nincsen, hacsak nincs lekapcsolva a világhálóról.Weboldalaknál egy egyszerű sql injection aztán vagy be jön vagy nem. És sokkal nagyobb az esélye a sikerre, ha ismeri az adott weboldal mysql adatbázis nevét. Továbbra is azt mondom, olyan információkat nem szabad kifecsegni, amit egy tárhelyet regisztrált tagnak ismernie kell. Ilyen kérdésekre azt kell válaszolni, keresse elő a tárhely regisztrációkor kapott e-mail -t vagy ha elveszett, info@okhost.eu .
Alább néhány példa, hogy ne ringassad magad hamis biztonságérzetben.
" A Citigroup elismerte, hogy egy biztonsági incidens következtében 210 ezer amerikai ügyfelének bizalmas adatait vesztette el. "
" Az IMF hivatalosan is megerősítette, hogy az elmúlt időszakban jelentős hekkertámadás érte az informatikai rendszerét. "
" A PBS és a FOX televíziós csatornák, a SONY majd a NINTENDO után az amerikai törvényhozás egy szervere is áldozattá vált. "
" GOOGLE: kínai hackerek törtek be ismét a Gmail -re. "
És még sorolhatnám tovább, ezek csak a legfrissebbek. Legyen ez a vége, részemről ezt a témát lezártnak tekintem.
Üdv.
Te beszélsz más számítógépéről... Szerinted a szerver nem számítógép? :O
Hajrá az SQL injectionnel, ha még találsz manapság olyan weboldalt, ahol működik is. Tudod, ez már eléggé elavult hiba, egyszerű kivédeni. Kezdők rémálma, vagy hogy mondják.
Ismeri az adatbázis nevét? Ugyan mit kezd vele? Tán használja? Létezik olyan sql-ben, hogy "privileges", mint általában más rendszereknél is. Ez is egy alapvető eszköz. Egyik az, hogy okhost sql-jéhez a helyi címmel lehet csak kapcsolódni, vagyis külsőleg nem. Másik meg az, hogy korlátozva vannak a felhasználók, tehát ha kapcsolódsz egy mezei okhost felhasználó belépési adataival, nem fogod tudni használni a "grant" és hasonló parancsokat, és mivel sql-lel csak sql nyelven lehet kommunikálni, nem fogja kiadni senkinek se a root hozzáférését. Egyébként is sha1-ben van kódolva a jelszó, amit vissza ugyan nem fejt senki, sőt szerintem meg is van "sózva", és mivel nem a végleg kódolt jelszót küldi az sql-nek, hanem egy köztesen, vagy akár szimplán csak a jelszót, majd a szerver forgatja át, és hasonlítja össze, így az életben nem tudod meg. Belépési adatok nélkül pedig nem fog "reagálni" a program. Remélem érted, mire célzok, mert nagyon jól elbeszélsz mellettem.
Én is hallottam nagyobb cégek rendszereinek feltöréséről, de szerinted azt Pistike viszi végbe a tanyán? Nem. Minden ilyen nagyobb feltörésnek megvannak az előzményei. Általában belső emberek végzik, vagy aki ismeri az adott rendszer sérülékenységét. De mint mondtam, hidd el, nem a webes részen (apache, sql, php, stb.) keresztül fogják megcsinálni.
Tudod, egy rendszer annál sérülékenyebb, minél több erőforrás van kiaknázva rajta a külső kapcsolatok felé, magyarán minél több port nyitva van, és minél több futó program figyeli ezeket, és reagál a bejövő adatokra. Az ilyen nagyobb cégek pedig nem csak webszervert futtatnak.
Nem ringatom magamat hamis biztonságérzetben. Volt nekem is szerverem, sokan használták, volt példa számtalan feltörési próbálkozásra, de pont az volt az erőssége, hogy egy jól beállított és válogatott programokat futtató Linux rendszer ment rajta. Van az a szólás, hogy "egyszerű, de nagyszerű".
Nem a 90-es években élünk, amikor még (csak egy példa) a számítógépek bios szoftverében nem volt crc, így durván lehetett befolyásolni a hardverek energiaigényeit, és egy szimpla utasítással a proci úgy elszállt, hogy rá se ismertél, mikor megnézted.