|
Jak si nechat hacknout web |
Vždy jsem si říkal, že mě osobně vzhledem ke zkušenostem a znalostem, se nic takového stát nemůže. Bohužel jedna věc je úroveň znalostí a kvalita vlastní práce, a druhá je lidský faktor. A tak se Vám může stát že Váš web ohrozí chyba někoho jiného.
Na svém hostingu itx.cz hostím i pár nekomerčních projektů na kterých jsem se jako autor nepodílel. Nikdy mě nenapadlo že lidi, kteří dnes pracují pro špičkové společnosti by mohli ve svých projektech nechat nějaké bezpečnostní slabiny. Bohužel opak je pravdou. V jendom projektu zůstala tato triviální bezpečnostní díra (navíc díky názvu open.php i GOOGLE pozitivní): $fp=File($soubor);
$f="";
for ($a=0;$a<Count($fp);$a++):
$f=$f.$fp[$a]."<BR>";
endfor;
echo $f;
Útočníkovi pouze stačilo vědět, kde mám umístěný konfigurační soubor Joomla a dostal se k citlivým údajům. Naštěstí není potřeba propadat panice. Náš webhosting má velmi dobře udělané zálohy. Stačilo přeheslovat web+databázi, vrátit data o den zpět a vymazat script který obsahoval inkriminovaný kód. Samosebou jsem ihned všechny další projekty podrobil bezpečnostnímu auditu a Vám to doporučuji také. Nespoléhejte se na lidi, jediný na koho se můžete spolehnou jste Vy sami. Co se týče Joomla a jiných CMS nepochybujte o tom, že i v nich se čas od času nějaké ty chyby vyskytnou. Proto je nutné neustále sledovat dění v dané oblasti a aktualizovat na nejnovější verze, případně sám opravit potencionálně nebezpečné scripty.
|