filmov
tv
Уязвимость сайтов на сервере к взлому из админки одного из них посредством конфига любой CMS.
Показать описание
Продолжение темы взлома сайтов на сервере из админки любой CMS.
В этом видео показано, как обеспечить навигацию по серверу из простого скрипта, установленного на сайт из его панели управления. Как только в админке удаётся создать php-скрипт, который создаёт любой другой php-скрипт, можно полазить по серверу в поисках других сайтов, расположенных на нём.
Конфигурационные файлы CMS плохо защищены от несанкционированного доступа из скриптов, расположенных на сервере, поэтому, конфиг сайта, с которого есть доступ в админку, читается сразу. Из конфигурационного файла узнаётся имя базы данных сайта, пользователь базы данных и его пароль. Дальше уже можно работать с базой данных сайта напрямую из любого php-скрипта. Например, можно создать второго админа или поменять пароль текущего администратора, не входя в админку, а напрямую средствами языка программирования PHP.
Также, если на сервере есть другие сайты, работающие на CMS, есть большая доля вероятности, что их конфигурационные файлы доступны для чтения. А значит и ко всем другим сайтам можно получить доступ. В видео показано, как правильно назначать права конфигурационным файлам.
Даже если прав на чтение конфига не хватает, есть вероятность записать простой PHP-скрипт в директории атакуемого сайта. Если это возможно, данный PHP-скрипт можно запустить уже с домена сайта и точно также, получив данные конфига CMS, получить полный доступ к сайту.
В видео оказано, как возможно осуществлять навигацию по папкам на сервере со взломанного сайта и проверять на наличие других сайтов на атакуемом сервере.
Данная информация предназначена для владельцев сайтов с целью их просвещения в вопросах безопасности и предупреждения взлома их серверов. Из видео должно быть понятно, что нужно проверять в настройках сервера, в настройках CMS, а также почему опасно давать админский доступ к сайту незнакомым людям. И почему опасно устанавливать пиратские, ворованные и взломанные программы к себе на сервер.
Данная информация универсальна для любых CMS, имеющими средства редактирования шаблона сайта (Wordpress, Joomla, Bitrix, OpenCart, DLE и многие другие).
(подписывайтесь на канал, ставьте лайк и оставляйте комментарии под видео, я их читаю)
ПОЛЕЗНЫЕ ССЫЛКИ НА СТАТЬИ С ПОДРОБНЫМИ ИНСТРУКЦИЯМИ:
#Joomla #безопасность #взлом #настройка #конфиг #php #сайт #сервер #администратор #правадоступа #привилегии #хакеры
В этом видео показано, как обеспечить навигацию по серверу из простого скрипта, установленного на сайт из его панели управления. Как только в админке удаётся создать php-скрипт, который создаёт любой другой php-скрипт, можно полазить по серверу в поисках других сайтов, расположенных на нём.
Конфигурационные файлы CMS плохо защищены от несанкционированного доступа из скриптов, расположенных на сервере, поэтому, конфиг сайта, с которого есть доступ в админку, читается сразу. Из конфигурационного файла узнаётся имя базы данных сайта, пользователь базы данных и его пароль. Дальше уже можно работать с базой данных сайта напрямую из любого php-скрипта. Например, можно создать второго админа или поменять пароль текущего администратора, не входя в админку, а напрямую средствами языка программирования PHP.
Также, если на сервере есть другие сайты, работающие на CMS, есть большая доля вероятности, что их конфигурационные файлы доступны для чтения. А значит и ко всем другим сайтам можно получить доступ. В видео показано, как правильно назначать права конфигурационным файлам.
Даже если прав на чтение конфига не хватает, есть вероятность записать простой PHP-скрипт в директории атакуемого сайта. Если это возможно, данный PHP-скрипт можно запустить уже с домена сайта и точно также, получив данные конфига CMS, получить полный доступ к сайту.
В видео оказано, как возможно осуществлять навигацию по папкам на сервере со взломанного сайта и проверять на наличие других сайтов на атакуемом сервере.
Данная информация предназначена для владельцев сайтов с целью их просвещения в вопросах безопасности и предупреждения взлома их серверов. Из видео должно быть понятно, что нужно проверять в настройках сервера, в настройках CMS, а также почему опасно давать админский доступ к сайту незнакомым людям. И почему опасно устанавливать пиратские, ворованные и взломанные программы к себе на сервер.
Данная информация универсальна для любых CMS, имеющими средства редактирования шаблона сайта (Wordpress, Joomla, Bitrix, OpenCart, DLE и многие другие).
(подписывайтесь на канал, ставьте лайк и оставляйте комментарии под видео, я их читаю)
ПОЛЕЗНЫЕ ССЫЛКИ НА СТАТЬИ С ПОДРОБНЫМИ ИНСТРУКЦИЯМИ:
#Joomla #безопасность #взлом #настройка #конфиг #php #сайт #сервер #администратор #правадоступа #привилегии #хакеры
0:18:54
0:13:46
0:31:40
0:10:33
0:14:55
0:06:00
0:08:11
0:00:34
0:00:59
0:33:04
0:04:34
0:06:09
0:05:19
0:04:58
0:00:48
0:05:13
0:01:00
0:05:24
0:14:55
0:03:03
0:02:36
0:03:28
0:14:22
0:00:13