Перейти к содержанию

Рекомендуемые сообщения

Вот достало уже, господа разработчики, а точнее любители adminer-а, вот как так можно ? 

Вроде прикрываешь все пакости, phpmyadmin и остальные, и тут вдруг ОПА, adminer.php, смотришь дальше еще штука 5 по разным папками, вы хотя бы удаляли их, а лучше бы вообще не ставили :-?

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

можно в двух словах, чем он вам не угодил, чем он хуже phpMyAdmin?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@nikifalex да банально, прикрыли мы phpMyAdmin то злых людей, а по сайту админеров валяется тучами, и найти его не сложно, так смысл искушать "китайцев" ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Банально, Артем  не знаком с теорией вероятности.


Как правило логин и пароль в базу минимум 10 символов. Даже 20в256 степени подобрать перебором невозможно.

 

И даже если у нас только символы и цифры и большие маленькие буквы  - это на три года большой хеш ферме.
А еще раньше сервер будет плакать от подобного брутфорса, что будет видно в логах и это бесполезная тема!

 

Все остальное домыслы.

Артем, может стоит поучить математику ?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Yoda вопрос не в том что стоит, а чего не стоит, вопрос зачем искушать судьбу ? Никто не отменял root с 8 символами

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, ArtemPitov сказал:

@Yoda вопрос не в том что стоит, а чего не стоит, вопрос зачем искушать судьбу ? Никто не отменял root с 8 символами

 

 

даже 8 символов.

Сколько у нас доступных значений? Сколько у нас вероятных символов?
Сколько серверов живет под ISP у которых phpmyadmin открыто и никикаких проблем?

 

Правда, поучите матчасть. Это немножко сложнее, чем быть невнятным модером в свою пользу. Но в конце концов вы получите результат, и узнаете что вам лично нужно делать, прежде чем что-то подобное советовать другим!

 

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Yoda сказал:

Это немножко сложнее, чем быть невнятным модером в свою пользу

Кто бы говорил ) 

 

4 минуты назад, Yoda сказал:

Но в конце концов вы получите результат, и узнаете что вам лично нужно делать, прежде чем что-то подобное советовать другим!

Спасибо, взаимно 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Извините, Артем, я не понимаю ваших намеков, не могли бы вы объяснить внятнее.

 

О чем вы сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Солидарен с Артёмом, заказали услуги, не дали доступ к БД - установил админер, сделал что надо - подотри за собой, админер на стороне хоста - это потенциальная уязвимость, особенно отлавливал новичков, которые после проекта простенького, начинают лазить не только по таблицам, а и организовывать доступы по фтп себе и прочие "пен-тексты", согласен, что получить доступ может его создатель, но если ты хозяин - у тебя и так есть доступ, а если фрилансер - убери бэкдор, если не поддерживаеш проект. Это как WIN10 - "мы уважаем закон о приватности информации, но на всякий случай будем сливать ваш контент, а вдруг чего".

Как по мне, это хороший тон разработчика, привнести в проект только полезные разработки, не оставив за собой ни ошибок, ни лишнего кода, ИМХО.

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

админер если он нужен переименовывается вот что-то типа superninjaphpadminer1434314134431431.php и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 09.02.2019 в 09:26, auditor сказал:

Солидарен с Артёмом, заказали услуги, не дали доступ к БД - установил админер, сделал что надо - подотри за собой, админер на стороне хоста - это потенциальная уязвимость, особенно отлавливал новичков, которые после проекта простенького, начинают лазить не только по таблицам, а и организовывать доступы по фтп себе и прочие "пен-тексты", согласен, что получить доступ может его создатель, но если ты хозяин - у тебя и так есть доступ, а если фрилансер - убери бэкдор, если не поддерживаеш проект. Это как WIN10 - "мы уважаем закон о приватности информации, но на всякий случай будем сливать ваш контент, а вдруг чего".

Как по мне, это хороший тон разработчика, привнести в проект только полезные разработки, не оставив за собой ни ошибок, ни лишнего кода, ИМХО.

Да ладно, давайте я вам дам тестовый проект и админер.

Ну и подожду лет десять пока вы его взломаете.

Что за бред?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Yoda сказал:

Да ладно, давайте я вам дам тестовый проект и админер.

Ну и подожду лет десять пока вы его взломаете.

Что за бред?

не надо хамить, товарисч, я с вами на майдане не стоял и из одной кружки чай не пил, читайте повнимательнее: "получить доступ может его создатель" - чорным, по русски написано же, никто не впаривает вам, что ломать кто то может админер, а в том суть хочу донести, что поюзал у клиента админер - подотри за собой, нех. оставлять бэкдоры за собой, или хотя бы уведомь заказчика об этом, что оставил доступ к базе его, вот что донести хочу, а то видел уже чудаков, которые выпили пивка, а потом: "а хочеш, я тебе щас прикол один покажу, на сайте что могу сделать..." и начинается... это про школьников больше, но имеет место быть, так как был однажды такой баловень пойман на горячем. 
а по поводу "взломать", то вам, как человеку близкому к безопасности, соотв. и ко взлому, должно быть известно, что "стоимость свеч - прямопропорциоанльно зависит от цели игры", а взломать можно все, только наперёд отписываю, что мол "ану ка взломай мне..." я игнорирую, у меня свой опыт и своя правда, не демагогии ради, а конструктива по теме пишу. Прошу прощение, если оскорбил чем то, старался конструктивно донести свою мысль, что бы недопонимания небыло.

  • +1 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Любая дополнительная дверь в систему - это лишний риск и потенциально небезопасное место, т.к. и в Adminer есть уязвимости, пусть и не такие тривиальные, как отсутствие экранирования :) 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, auditor сказал:

не надо хамить, товарисч, я с вами на майдане не стоял и из одной кружки чай не пил, читайте повнимательнее: "получить доступ может его создатель" - чорным, по русски написано же, никто не впаривает вам, что ломать кто то может админер, а в том суть хочу донести, что поюзал у клиента админер - подотри за собой, нех. оставлять бэкдоры за собой, или хотя бы уведомь заказчика об этом, что оставил доступ к базе его, вот что донести хочу, а то видел уже чудаков, которые выпили пивка, а потом: "а хочеш, я тебе щас прикол один покажу, на сайте что могу сделать..." и начинается... это про школьников больше, но имеет место быть, так как был однажды такой баловень пойман на горячем. 
а по поводу "взломать", то вам, как человеку близкому к безопасности, соотв. и ко взлому, должно быть известно, что "стоимость свеч - прямопропорциоанльно зависит от цели игры", а взломать можно все, только наперёд отписываю, что мол "ану ка взломай мне..." я игнорирую, у меня свой опыт и своя правда, не демагогии ради, а конструктива по теме пишу. Прошу прощение, если оскорбил чем то, старался конструктивно донести свою мысль, что бы недопонимания небыло.

Очень много слов не по делу.

Ваше мнение про то где вы стояли, оставляйте при себе, оно здесь ни к чему.

По факту уязвимость от админера ровно такая же как у незакрытой админки, открытого 22 порта, включенного фтп и активированного вывода ошибок.

Открытых phpmyadmin в мир на доброй половине хостингов и так далее. 

 

Если бы речь шла о том что к многих лежит backup.zip в корне, db.sql info.php. Я бы поддержал.

 

А так... Это сотрясение воздуха.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Yoda сказал:

Очень много слов не по делу.

Ваше мнение про то где вы стояли, оставляйте при себе, оно здесь ни к чему.

По факту уязвимость от админера ровно такая же как у незакрытой админки, открытого 22 порта, включенного фтп и активированного вывода ошибок.

Открытых phpmyadmin в мир на доброй половине хостингов и так далее. 

 

Если бы речь шла о том что к многих лежит backup.zip в корне, db.sql info.php. Я бы поддержал.

 

А так... Это сотрясение воздуха.

О, это да, скоько не зайду на сервер, info.php или, как часто любят любители тестирования ионкуба, заливать в корень тестировщик, который покажет, совместима ли система с их модулем и есть ли вообще установленный ionCube, а в итоге - потенциальная информация о сервере, и тоже - залил и держит, ну и сам реккомендатель красавец, тоже отписал бы, мол потестил - зелёное - ок - удали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.