Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Adminer


ArtemPitov

Recommended Posts

Вот достало уже, господа разработчики, а точнее любители adminer-а, вот как так можно ? 

Вроде прикрываешь все пакости, phpmyadmin и остальные, и тут вдруг ОПА, adminer.php, смотришь дальше еще штука 5 по разным папками, вы хотя бы удаляли их, а лучше бы вообще не ставили :-?

  • +1 2
Надіслати
Поділитися на інших сайтах

@nikifalex да банально, прикрыли мы phpMyAdmin то злых людей, а по сайту админеров валяется тучами, и найти его не сложно, так смысл искушать "китайцев" ? 

Надіслати
Поділитися на інших сайтах

Банально, Артем  не знаком с теорией вероятности.


Как правило логин и пароль в базу минимум 10 символов. Даже 20в256 степени подобрать перебором невозможно.

 

И даже если у нас только символы и цифры и большие маленькие буквы  - это на три года большой хеш ферме.
А еще раньше сервер будет плакать от подобного брутфорса, что будет видно в логах и это бесполезная тема!

 

Все остальное домыслы.

Артем, может стоит поучить математику ?

 

 

Надіслати
Поділитися на інших сайтах


@Yoda вопрос не в том что стоит, а чего не стоит, вопрос зачем искушать судьбу ? Никто не отменял root с 8 символами

 

Надіслати
Поділитися на інших сайтах

7 минут назад, ArtemPitov сказал:

@Yoda вопрос не в том что стоит, а чего не стоит, вопрос зачем искушать судьбу ? Никто не отменял root с 8 символами

 

 

даже 8 символов.

Сколько у нас доступных значений? Сколько у нас вероятных символов?
Сколько серверов живет под ISP у которых phpmyadmin открыто и никикаких проблем?

 

Правда, поучите матчасть. Это немножко сложнее, чем быть невнятным модером в свою пользу. Но в конце концов вы получите результат, и узнаете что вам лично нужно делать, прежде чем что-то подобное советовать другим!

 

Спасибо!

Надіслати
Поділитися на інших сайтах


3 минуты назад, Yoda сказал:

Это немножко сложнее, чем быть невнятным модером в свою пользу

Кто бы говорил ) 

 

4 минуты назад, Yoda сказал:

Но в конце концов вы получите результат, и узнаете что вам лично нужно делать, прежде чем что-то подобное советовать другим!

Спасибо, взаимно 

  • +1 1
Надіслати
Поділитися на інших сайтах

Солидарен с Артёмом, заказали услуги, не дали доступ к БД - установил админер, сделал что надо - подотри за собой, админер на стороне хоста - это потенциальная уязвимость, особенно отлавливал новичков, которые после проекта простенького, начинают лазить не только по таблицам, а и организовывать доступы по фтп себе и прочие "пен-тексты", согласен, что получить доступ может его создатель, но если ты хозяин - у тебя и так есть доступ, а если фрилансер - убери бэкдор, если не поддерживаеш проект. Это как WIN10 - "мы уважаем закон о приватности информации, но на всякий случай будем сливать ваш контент, а вдруг чего".

Как по мне, это хороший тон разработчика, привнести в проект только полезные разработки, не оставив за собой ни ошибок, ни лишнего кода, ИМХО.

  • +1 2
Надіслати
Поділитися на інших сайтах

админер если он нужен переименовывается вот что-то типа superninjaphpadminer1434314134431431.php и все

Надіслати
Поділитися на інших сайтах

В 09.02.2019 в 09:26, auditor сказал:

Солидарен с Артёмом, заказали услуги, не дали доступ к БД - установил админер, сделал что надо - подотри за собой, админер на стороне хоста - это потенциальная уязвимость, особенно отлавливал новичков, которые после проекта простенького, начинают лазить не только по таблицам, а и организовывать доступы по фтп себе и прочие "пен-тексты", согласен, что получить доступ может его создатель, но если ты хозяин - у тебя и так есть доступ, а если фрилансер - убери бэкдор, если не поддерживаеш проект. Это как WIN10 - "мы уважаем закон о приватности информации, но на всякий случай будем сливать ваш контент, а вдруг чего".

Как по мне, это хороший тон разработчика, привнести в проект только полезные разработки, не оставив за собой ни ошибок, ни лишнего кода, ИМХО.

Да ладно, давайте я вам дам тестовый проект и админер.

Ну и подожду лет десять пока вы его взломаете.

Что за бред?

Надіслати
Поділитися на інших сайтах


1 час назад, Yoda сказал:

Да ладно, давайте я вам дам тестовый проект и админер.

Ну и подожду лет десять пока вы его взломаете.

Что за бред?

не надо хамить, товарисч, я с вами на майдане не стоял и из одной кружки чай не пил, читайте повнимательнее: "получить доступ может его создатель" - чорным, по русски написано же, никто не впаривает вам, что ломать кто то может админер, а в том суть хочу донести, что поюзал у клиента админер - подотри за собой, нех. оставлять бэкдоры за собой, или хотя бы уведомь заказчика об этом, что оставил доступ к базе его, вот что донести хочу, а то видел уже чудаков, которые выпили пивка, а потом: "а хочеш, я тебе щас прикол один покажу, на сайте что могу сделать..." и начинается... это про школьников больше, но имеет место быть, так как был однажды такой баловень пойман на горячем. 
а по поводу "взломать", то вам, как человеку близкому к безопасности, соотв. и ко взлому, должно быть известно, что "стоимость свеч - прямопропорциоанльно зависит от цели игры", а взломать можно все, только наперёд отписываю, что мол "ану ка взломай мне..." я игнорирую, у меня свой опыт и своя правда, не демагогии ради, а конструктива по теме пишу. Прошу прощение, если оскорбил чем то, старался конструктивно донести свою мысль, что бы недопонимания небыло.

  • +1 3
Надіслати
Поділитися на інших сайтах

Любая дополнительная дверь в систему - это лишний риск и потенциально небезопасное место, т.к. и в Adminer есть уязвимости, пусть и не такие тривиальные, как отсутствие экранирования :) 

  • +1 1
Надіслати
Поділитися на інших сайтах

8 часов назад, auditor сказал:

не надо хамить, товарисч, я с вами на майдане не стоял и из одной кружки чай не пил, читайте повнимательнее: "получить доступ может его создатель" - чорным, по русски написано же, никто не впаривает вам, что ломать кто то может админер, а в том суть хочу донести, что поюзал у клиента админер - подотри за собой, нех. оставлять бэкдоры за собой, или хотя бы уведомь заказчика об этом, что оставил доступ к базе его, вот что донести хочу, а то видел уже чудаков, которые выпили пивка, а потом: "а хочеш, я тебе щас прикол один покажу, на сайте что могу сделать..." и начинается... это про школьников больше, но имеет место быть, так как был однажды такой баловень пойман на горячем. 
а по поводу "взломать", то вам, как человеку близкому к безопасности, соотв. и ко взлому, должно быть известно, что "стоимость свеч - прямопропорциоанльно зависит от цели игры", а взломать можно все, только наперёд отписываю, что мол "ану ка взломай мне..." я игнорирую, у меня свой опыт и своя правда, не демагогии ради, а конструктива по теме пишу. Прошу прощение, если оскорбил чем то, старался конструктивно донести свою мысль, что бы недопонимания небыло.

Очень много слов не по делу.

Ваше мнение про то где вы стояли, оставляйте при себе, оно здесь ни к чему.

По факту уязвимость от админера ровно такая же как у незакрытой админки, открытого 22 порта, включенного фтп и активированного вывода ошибок.

Открытых phpmyadmin в мир на доброй половине хостингов и так далее. 

 

Если бы речь шла о том что к многих лежит backup.zip в корне, db.sql info.php. Я бы поддержал.

 

А так... Это сотрясение воздуха.

Надіслати
Поділитися на інших сайтах


3 часа назад, Yoda сказал:

Очень много слов не по делу.

Ваше мнение про то где вы стояли, оставляйте при себе, оно здесь ни к чему.

По факту уязвимость от админера ровно такая же как у незакрытой админки, открытого 22 порта, включенного фтп и активированного вывода ошибок.

Открытых phpmyadmin в мир на доброй половине хостингов и так далее. 

 

Если бы речь шла о том что к многих лежит backup.zip в корне, db.sql info.php. Я бы поддержал.

 

А так... Это сотрясение воздуха.

О, это да, скоько не зайду на сервер, info.php или, как часто любят любители тестирования ионкуба, заливать в корень тестировщик, который покажет, совместима ли система с их модулем и есть ли вообще установленный ionCube, а в итоге - потенциальная информация о сервере, и тоже - залил и держит, ну и сам реккомендатель красавец, тоже отписал бы, мол потестил - зелёное - ок - удали.

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.