[PHP] Prawidłowy kod, Czyli strona kaput znów Opcje

[materkamil]

Wściekłem się i zrobiłem tak: http://astrouniverse.netii.net/
No i nowa strona dalej rozwalona!
http://www.astrohosting.web44.net/

I teraz wytłumaczę jak zrobiłem tą stronkę:

zrobiłem na stronie głównej formularz do przesyłania hasła do skryptu.

if (hasło poprawne) {
pokaż formularz do przesyłania plików
}
else
{
}

Jednak ten "ktoś" przesłał pliki, a ja nie wiem jakim cudem. Oto kody strony dzięki której pokazuje się formularz:

[PHP] pobierz, plaintext 
<body background=omega.jpg>
<?
$tagizyja = $_POST["haslo"];
$tagikaput = strip_tags($tagizyja);
if($tagikaput == "tego nie powiem") { // TUTAJ WYŚWIETLA SIĘ TEN FORMULARZ PRZESYŁANIA PLIKÓW
echo("<center><font size=6 color=blue face=arial>Upload plików forum <a href=http://www.astrouniverse.pl>ASTROUNIVERSE</a></font><br><br><font size=4 color=Navy>Przypominam że na ten serwer ze względów bezpieczeństwa można przesyłać jedynie pliki z rozszerzeniem: jpg oraz gif. Wykonanie strony <b>materkamil</b><br></font>
<br><form enctype=multipart/form-data action=tu jest jakis plik ale nie powiem nazwy.php method=POST>
<input type=hidden name=MAX_FILE_SIZE value=5000000 />
<input name=plik type=file />
<input type=submit value=Wyslij plik />
</form><br><br><a href=tego tez nie powiem.php>Panel Administratora</a> ");
}
else
{
	if(empty($tagikaput)) {
		echo("<center><font size=5>Dlaczego nic nie wpisałes?</font>");
 
	}
	else
	{
 
echo("<center><font size=5>Wpisane przez ciebie hasło <b>$tagikaput</b> jest nieprawidłowe</font>");
	}
}
?>
[PHP] pobierz, plaintext 

Nie mam pojęcia jak przesłał te pliki? Przecież do przesłania trzeba.

[materkamil]

-nie kodujesz haseł, ktoś patrzy w źródło pliku *.php i juz zna

Jak ktoś patrzy? Nie można zobaczyć źródła pliku *.php? Jakim cudem je widzicie?
http://forum.php.pl/index.php?showtopic=54514

- brak sesji, wystarczy wysłać POSTem informacje do pliku który nazywał się wcześniej w stylu "dodaj.php"

Skąd macie nazwę pliku? Przecież można ją zobaczyć jedynie w PA do którego nie da się dostać bo jest if, czyli wpisujesz hasło i ok.

- cały czas prowokujesz, pisząc głupoty

Wydaje mi się że te zabezpieczenia są nie do przejścia, bez jakiejś "nieczystej" gry np: jeśli ktoś z tych userów, co jest włamywaczem to admin hostingu UGU i wtedy widzi pliki.

- do tego słabe hasła, mam nadzieję, że ten cytat trochę Ci wyjaśni o co mi chodzi

Niektórzy nasi użytkownicy mają problem z pisaniem cyfr na klawiaturze, nie wspominając znaków specjalnych

Zgadnij skąd to mam

Nie zgadnę? Jakim cudem dostałeś się do działu na forum zablokowanego?

Ten post edytował materkamil 29.04.2012, 09:54:05

[!*!]

Jak ktoś patrzy? Nie można zobaczyć źródła pliku *.php? Jakim cudem je widzicie?

Pierwsza wersja "ataku" pozwalała na to, był nieograniczony dostęp do serwera FTP. Poza tym sam pokazałeś Nam źródła, pamiętasz?

Skąd macie nazwę pliku? Przecież można ją zobaczyć jedynie w PA do którego nie da się dostać bo jest if, czyli wpisujesz hasło i ok.

Patrz wyżej, ale skoro to "załatałeś" to nie postarałeś się żeby wgrać pliki i nazwa byłą ta sama lub podobna. Wystarczyło wgrać swój plik który wyświetlał nazwę wszystkich plików, a później sam siebie kasował.

Wydaje mi się że te zabezpieczenia są nie do przejścia, bez jakiejś "nieczystej" gry np: jeśli ktoś z tych userów, co jest włamywaczem to admin hostingu UGU i wtedy widzi pliki.

Głosisz herezje, nie ma zabezpieczeń nie do obejścia, już Ci to pisałem.

Nie zgadnę? Jakim cudem dostałeś się do działu na forum zablokowanego?

Zgadł hasło? (IMG:style_emoticons/default/biggrin.gif) Lub się zarejestrował, pogadał, popraosił itd.

Ten post edytował !*! 29.04.2012, 10:06:43