Jump to content

Recommended Posts

Вот достало уже, господа разработчики, а точнее любители adminer-а, вот как так можно ? 

Вроде прикрываешь все пакости, phpmyadmin и остальные, и тут вдруг ОПА, adminer.php, смотришь дальше еще штука 5 по разным папками, вы хотя бы удаляли их, а лучше бы вообще не ставили :-?

  • +1 2

Share this post


Link to post
Share on other sites

можно в двух словах, чем он вам не угодил, чем он хуже phpMyAdmin?

Share this post


Link to post
Share on other sites

@nikifalex да банально, прикрыли мы phpMyAdmin то злых людей, а по сайту админеров валяется тучами, и найти его не сложно, так смысл искушать "китайцев" ? 

Share this post


Link to post
Share on other sites

Банально, Артем  не знаком с теорией вероятности.


Как правило логин и пароль в базу минимум 10 символов. Даже 20в256 степени подобрать перебором невозможно.

 

И даже если у нас только символы и цифры и большие маленькие буквы  - это на три года большой хеш ферме.
А еще раньше сервер будет плакать от подобного брутфорса, что будет видно в логах и это бесполезная тема!

 

Все остальное домыслы.

Артем, может стоит поучить математику ?

 

 

Share this post


Link to post
Share on other sites

@Yoda вопрос не в том что стоит, а чего не стоит, вопрос зачем искушать судьбу ? Никто не отменял root с 8 символами

 

Share this post


Link to post
Share on other sites
7 минут назад, ArtemPitov сказал:

@Yoda вопрос не в том что стоит, а чего не стоит, вопрос зачем искушать судьбу ? Никто не отменял root с 8 символами

 

 

даже 8 символов.

Сколько у нас доступных значений? Сколько у нас вероятных символов?
Сколько серверов живет под ISP у которых phpmyadmin открыто и никикаких проблем?

 

Правда, поучите матчасть. Это немножко сложнее, чем быть невнятным модером в свою пользу. Но в конце концов вы получите результат, и узнаете что вам лично нужно делать, прежде чем что-то подобное советовать другим!

 

Спасибо!

Share this post


Link to post
Share on other sites
3 минуты назад, Yoda сказал:

Это немножко сложнее, чем быть невнятным модером в свою пользу

Кто бы говорил ) 

 

4 минуты назад, Yoda сказал:

Но в конце концов вы получите результат, и узнаете что вам лично нужно делать, прежде чем что-то подобное советовать другим!

Спасибо, взаимно 

  • +1 1

Share this post


Link to post
Share on other sites

Извините, Артем, я не понимаю ваших намеков, не могли бы вы объяснить внятнее.

 

О чем вы сейчас.

Share this post


Link to post
Share on other sites

Солидарен с Артёмом, заказали услуги, не дали доступ к БД - установил админер, сделал что надо - подотри за собой, админер на стороне хоста - это потенциальная уязвимость, особенно отлавливал новичков, которые после проекта простенького, начинают лазить не только по таблицам, а и организовывать доступы по фтп себе и прочие "пен-тексты", согласен, что получить доступ может его создатель, но если ты хозяин - у тебя и так есть доступ, а если фрилансер - убери бэкдор, если не поддерживаеш проект. Это как WIN10 - "мы уважаем закон о приватности информации, но на всякий случай будем сливать ваш контент, а вдруг чего".

Как по мне, это хороший тон разработчика, привнести в проект только полезные разработки, не оставив за собой ни ошибок, ни лишнего кода, ИМХО.

  • +1 2

Share this post


Link to post
Share on other sites

админер если он нужен переименовывается вот что-то типа superninjaphpadminer1434314134431431.php и все

Share this post


Link to post
Share on other sites
В 09.02.2019 в 09:26, auditor сказал:

Солидарен с Артёмом, заказали услуги, не дали доступ к БД - установил админер, сделал что надо - подотри за собой, админер на стороне хоста - это потенциальная уязвимость, особенно отлавливал новичков, которые после проекта простенького, начинают лазить не только по таблицам, а и организовывать доступы по фтп себе и прочие "пен-тексты", согласен, что получить доступ может его создатель, но если ты хозяин - у тебя и так есть доступ, а если фрилансер - убери бэкдор, если не поддерживаеш проект. Это как WIN10 - "мы уважаем закон о приватности информации, но на всякий случай будем сливать ваш контент, а вдруг чего".

Как по мне, это хороший тон разработчика, привнести в проект только полезные разработки, не оставив за собой ни ошибок, ни лишнего кода, ИМХО.

Да ладно, давайте я вам дам тестовый проект и админер.

Ну и подожду лет десять пока вы его взломаете.

Что за бред?

Share this post


Link to post
Share on other sites
1 час назад, Yoda сказал:

Да ладно, давайте я вам дам тестовый проект и админер.

Ну и подожду лет десять пока вы его взломаете.

Что за бред?

не надо хамить, товарисч, я с вами на майдане не стоял и из одной кружки чай не пил, читайте повнимательнее: "получить доступ может его создатель" - чорным, по русски написано же, никто не впаривает вам, что ломать кто то может админер, а в том суть хочу донести, что поюзал у клиента админер - подотри за собой, нех. оставлять бэкдоры за собой, или хотя бы уведомь заказчика об этом, что оставил доступ к базе его, вот что донести хочу, а то видел уже чудаков, которые выпили пивка, а потом: "а хочеш, я тебе щас прикол один покажу, на сайте что могу сделать..." и начинается... это про школьников больше, но имеет место быть, так как был однажды такой баловень пойман на горячем. 
а по поводу "взломать", то вам, как человеку близкому к безопасности, соотв. и ко взлому, должно быть известно, что "стоимость свеч - прямопропорциоанльно зависит от цели игры", а взломать можно все, только наперёд отписываю, что мол "ану ка взломай мне..." я игнорирую, у меня свой опыт и своя правда, не демагогии ради, а конструктива по теме пишу. Прошу прощение, если оскорбил чем то, старался конструктивно донести свою мысль, что бы недопонимания небыло.

  • +1 3

Share this post


Link to post
Share on other sites

Любая дополнительная дверь в систему - это лишний риск и потенциально небезопасное место, т.к. и в Adminer есть уязвимости, пусть и не такие тривиальные, как отсутствие экранирования :) 

  • +1 1

Share this post


Link to post
Share on other sites
8 часов назад, auditor сказал:

не надо хамить, товарисч, я с вами на майдане не стоял и из одной кружки чай не пил, читайте повнимательнее: "получить доступ может его создатель" - чорным, по русски написано же, никто не впаривает вам, что ломать кто то может админер, а в том суть хочу донести, что поюзал у клиента админер - подотри за собой, нех. оставлять бэкдоры за собой, или хотя бы уведомь заказчика об этом, что оставил доступ к базе его, вот что донести хочу, а то видел уже чудаков, которые выпили пивка, а потом: "а хочеш, я тебе щас прикол один покажу, на сайте что могу сделать..." и начинается... это про школьников больше, но имеет место быть, так как был однажды такой баловень пойман на горячем. 
а по поводу "взломать", то вам, как человеку близкому к безопасности, соотв. и ко взлому, должно быть известно, что "стоимость свеч - прямопропорциоанльно зависит от цели игры", а взломать можно все, только наперёд отписываю, что мол "ану ка взломай мне..." я игнорирую, у меня свой опыт и своя правда, не демагогии ради, а конструктива по теме пишу. Прошу прощение, если оскорбил чем то, старался конструктивно донести свою мысль, что бы недопонимания небыло.

Очень много слов не по делу.

Ваше мнение про то где вы стояли, оставляйте при себе, оно здесь ни к чему.

По факту уязвимость от админера ровно такая же как у незакрытой админки, открытого 22 порта, включенного фтп и активированного вывода ошибок.

Открытых phpmyadmin в мир на доброй половине хостингов и так далее. 

 

Если бы речь шла о том что к многих лежит backup.zip в корне, db.sql info.php. Я бы поддержал.

 

А так... Это сотрясение воздуха.

Share this post


Link to post
Share on other sites
3 часа назад, Yoda сказал:

Очень много слов не по делу.

Ваше мнение про то где вы стояли, оставляйте при себе, оно здесь ни к чему.

По факту уязвимость от админера ровно такая же как у незакрытой админки, открытого 22 порта, включенного фтп и активированного вывода ошибок.

Открытых phpmyadmin в мир на доброй половине хостингов и так далее. 

 

Если бы речь шла о том что к многих лежит backup.zip в корне, db.sql info.php. Я бы поддержал.

 

А так... Это сотрясение воздуха.

О, это да, скоько не зайду на сервер, info.php или, как часто любят любители тестирования ионкуба, заливать в корень тестировщик, который покажет, совместима ли система с их модулем и есть ли вообще установленный ionCube, а в итоге - потенциальная информация о сервере, и тоже - залил и держит, ну и сам реккомендатель красавец, тоже отписал бы, мол потестил - зелёное - ок - удали.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.