ช่วงนี้ พวกลองของ Hack กันบ่อย อย่างไรต้องระวังกันนะครับ

mean · June 18, 2012, 1:36am

[B]ช่วงนี้ พวกลองของ Hack กันบ่อย อย่างไรต้องระวังกันนะครับ
[/B]
จากเท่าที่ไล่ตามพบว่ามีหลายเว็บไซต์ที่อื่น ที่โดนไปเหมือนกันครับ
โดยเฉพาะเว็บไซต์ ที่พัฒนา coding ขึ้นเอง ที่ทำการเขียน code ไว้นานแล้ว และไม่ได้มีการปรับปรุงเลยต้องระวังครับ

ส่วนหนึ่งที่ช่วยป้องกันได้

[B]หลีกเลี่ยงการใช้รหัสผ่านที่คาดเดาได้ง่าย
[/B]
[B]กรณี เปิดให้ลูกค้าทำการ Upload File หรือส่งเอกสารขึ้นมาได้[/B]
ให้ทำการสร้างไฟล์ .htaccess เพื่อปิดกันการ Execute File ในโฟลเดอร์เก็บไฟล์

php_flag engine off
Order Deny,Allow
Deny from all

และ ควรทำการ rename ชื่อไฟล์ ให้อยู่ในรูปแบบไฟล์อื่นๆ เช่น md5()

[B]ข้อควรระวัง อีกประการหนึ่งของ php (register global on)[/B]
<?
include($file);
?>
http://domain.com/?file=filename

การรับค่าจาก form method ควรใช้ $_GET[], $_POST[]

[B]การเปิดใช้งาน openbase dir อาจเป็นอันตราย[/B] เช่น
<?
include($file);
?>
http://domain.com/?file=../../../etc/passwd

[B]สำหรับผู้ใช้ Script CMS สำเร็จรูป ควรตรวจสอบ version ปรับปรุง ให้เป็นปัจจุบันอยู่เสมอ

การเก็บรหัสผ่าน ควรทำการ encrypt หรือ md5 หรือ hash

… อื่นๆ ตามสำควรครับ
[/B]

360 · June 18, 2012, 10:06am

[B]หลีกเลี่ยงการใช้รหัสผ่านที่คาดเดาได้ง่าย

[/B]นี่คือที่ยากที่สุดเลย. ลูกค้าชอบตั้งพาสแบบง่าย ๆ ผมเคยเจอ

username: admin
password: admin

บ่อยมาก

ton1 · June 18, 2012, 10:55am

user: admin
passwd: aa’ or 1 like '1

gapzine · June 18, 2012, 2:55pm

ขอบคุณครับที่มาเตือนครับ ต้องลอง monitor ดูบ้างแล้วครับ

ThaiTumweb · June 18, 2012, 7:00pm

เอ น่าจะหมายถึงการไม่ได้เปิดใช้งาน และไม่ได้ระบุให้อยู่แต่ใน home user นะครับ

pizzaman911 · June 18, 2012, 8:56pm

มาตรฐานโลก :015:

Jellopy · June 18, 2012, 9:10pm


<?php
    ...
    $pid = (int)$pid;
    ...
    $username = mysql_real_escape_string($username);
    ...
?>

kke · June 18, 2012, 11:13pm

ถ้าใช้ DA ปกติ มันเปิด open_basedir ให้เป็น default อยู่แล้ว ไฟล์ php ก็จะเรียกข้าม home กันไม่ได้
[COLOR=#ff0000]ยกเว้นว่าเรียกผ่าน temp url ไม่เชื่อลอง http://ip/~user/file.php[/COLOR]
ในไฟล์ให้ include ข้ามไป โดเมนอื่นโดยอ้าง path เต็มๆ /home/user/…/public_html/config.php ก็จะอ่าน config db ออกมาได้สบายๆ
ยิ่งถ้าไม่ disable function พวก exec system passthru เอาไว้ด้วย ยิ่งไปกันใหญ่ เปิดอ่านไฟล์ /etc/passwd ดูก็รู้หมดเลยว่ามี user อะไร home อยู่ path ใหน

วิธีป้องกันคือปิด temp url ไปเลย สำหรับ DA ให้แก้ไขไฟล์
/etc/httpd/conf/extra/httpd-vhosts.conf
แล้วใส่ # หน้าบรรทัด AliasMatch … จะมีอยู่ 2 แห่ง port 80 กับ 443

ton1 · June 19, 2012, 2:20pm

:87a4e689:

au_ichigo · June 20, 2012, 8:58am

kke:

ถ้าใช้ DA ปกติ มันเปิด open_basedir ให้เป็น default อยู่แล้ว ไฟล์ php ก็จะเรียกข้าม home กันไม่ได้
[COLOR=#ff0000]ยกเว้นว่าเรียกผ่าน temp url ไม่เชื่อลอง http://ip/~user/file.php[/COLOR]
ในไฟล์ให้ include ข้ามไป โดเมนอื่นโดยอ้าง path เต็มๆ /home/user/…/public_html/config.php ก็จะอ่าน config db ออกมาได้สบายๆ
ยิ่งถ้าไม่ disable function พวก exec system passthru เอาไว้ด้วย ยิ่งไปกันใหญ่ เปิดอ่านไฟล์ /etc/passwd ดูก็รู้หมดเลยว่ามี user อะไร home อยู่ path ใหน

วิธีป้องกันคือปิด temp url ไปเลย สำหรับ DA ให้แก้ไขไฟล์
/etc/httpd/conf/extra/httpd-vhosts.conf
แล้วใส่ # หน้าบรรทัด AliasMatch … จะมีอยู่ 2 แห่ง port 80 กับ 443

ขอบคุณค่ะ

system · May 16, 2016, 8:27am