Wordpress

Drago
Uživatelský avatar
WD Trader: 4/5

Příspěvky: 966
Registrace: 10.11.2010
Včera jsem si napsal jednoduchý skript na měření rychlosti generování stránek. Výsledky ukládá do souboru. Dneska koukám, že tam jsou následující řádky:

10.2.2013 07:22:19 cn130.com/wp-config.php.bak
10.2.2013 07:22:19 cn130.com/wp-config.php.txt
10.2.2013 07:22:19 cn130.com/wp-config.php~
10.2.2013 07:22:19 cn130.com/wp-config.php.dist
10.2.2013 07:22:19 cn130.com/wp-config.php.save
10.2.2013 07:22:19 cn130.com/.wp-config.php.swp
10.2.2013 07:22:19 cn130.com/wp-config.php.old
10.2.2013 07:22:20 cn130.com/wp-config.php.swp

Přemýšlel jsem jaké zranitelnosti serverů jednotlivé pokusy vlastně využívají.

Jan Paluska
Uživatelský avatar

Administrátor
WD Trader: 4.78/5

Příspěvky: 1323
Registrace: 14.02.2011
Abych řekl pravdu, nevím co mám v tomto příspěvku hledat, na co se ptáš či co oznamuješ :/
Pomohl jsem? Použij tlačítko [+]
 Dar

Drago
Uživatelský avatar
WD Trader: 4/5

Příspěvky: 966
Registrace: 10.11.2010
Zajímalo by mě co musí server splňovat, aby třeba cn130.com/wp-config.php.txt vrátil opravdu jako .txt. Je mi jasné že jsou to nějaké slabiny nastavení serveru.

hexageek
Uživatelský avatar
WD Trader: N/A/5

Příspěvky: 147
Registrace: 22.03.2011
Drago píše:
Včera jsem si napsal jednoduchý skript na měření rychlosti generování stránek. Výsledky ukládá do souboru. Dneska koukám, že tam jsou následující řádky:

10.2.2013 07:22:19 cn130.com/wp-config.php.bak
10.2.2013 07:22:19 cn130.com/wp-config.php.txt
10.2.2013 07:22:19 cn130.com/wp-config.php~
10.2.2013 07:22:19 cn130.com/wp-config.php.dist
10.2.2013 07:22:19 cn130.com/wp-config.php.save
10.2.2013 07:22:19 cn130.com/.wp-config.php.swp
10.2.2013 07:22:19 cn130.com/wp-config.php.old
10.2.2013 07:22:20 cn130.com/wp-config.php.swp

Přemýšlel jsem jaké zranitelnosti serverů jednotlivé pokusy vlastně využívají.


ahoj, nejedna se primo security bug PHP nebo Apache nebo cehokoliv podobneho. Je to takovy people hack, ocekava to existenci souboru ktery vznikl programatorem pri editaci
wp-config.php souboru, to co vidite jsou tmp pripony ktere vyuziva hodne editoru.

.bak/.old - je nejcastejsi pojmenovani souboru jako pouvodnho primo programatorem
.txt - prejmenovavaji hodne lide pracujici na platforme windows kde jsou omezovani content-type pravidly, casto krat je to videt na IIS
.php~ - dela hodne editoru
.dist - nektere svn, a ss systemy

dalsi neznam

-- 10.02.2013 15:54 --

Drago píše:
Zajímalo by mě co musí server splňovat, aby třeba cn130.com/wp-config.php.txt vrátil opravdu jako .txt. Je mi jasné že jsou to nějaké slabiny nastavení serveru.


pokud ocekavate takoveto chyby tak ty byly vetsinou navazany na ruzne problemy se spracovanim unicode, zerobyte, a mnoha bezpecnostich chyb.

napr.

/index.asp::$data - super bug na windows IIS, stary par let
/index.%00php - zero byte

a mnoho dalsiho vzdy to byly chyby na strane programatora ktery spatne zpracovaval vstupy..

Fit
Uživatelský avatar
WD Trader: 5/5

Příspěvky: 480
Registrace: 30.09.2011
To jsou teda šmejdi...

Pro plnohodnotné využívání fóra, vč. psaní příspěvků se musíte registrovat nebo se přihlásit.
Registrovat se nebo Přihlásit se