28.01.2018 13:04
aldemko
 
Всем привет. Решил поделиться с уважаемой публикой Olegon.ru своими заметками и находками.

что я знаю про git ? да ничего, я не знаю как им пользоваться - знаю некоторые команды записанные в блокноте, но по настоящему мне стал так близок git когда я начал искать уязвимости сайтов
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.


Да, я не силен в программировании как большинство читающих этот пост, но тем не менее именно отсутствие навыков программирования и анализа кода навело меня на столь банальный
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
, ибо умные люди сидели бы и анализировали код, и до таких ну банальных и простых манипуляций не догадались бы.
Вернемся к нашему git репозитарию. Сейчас такая то-ли мода то-ли движение, но многие сайты имеют свои копии в git-е, с одной стороны это упрощает работу программистам сайта, с другой стороны упрощает работу мне.
А почему упрощает спросите вы ?
git сайта это зачастую полный слепок сайта, в котором можно найти файлы которые не должны попасть посторонним - начиная от паролей к бд, заканчивая лицензионными ключами
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

Я не особо могу красиво написать и иногда теряю нотку текста, так вот простым запросом в поисковике, я могу найти десятки сотен открытых проектов дающих мне пароли от бд, другие полезные файлы.
Самое главное что я искал решения только на интересующей меня CMS, а сотни тысяч других пропускал - не интересны они мне. (joomla drupal и прочее)

Многие люди задаются вопросом как взломали мой сайт, мол пароль никто не знает и так далее.
Что бы обезопасить себя от потенциального взлома, в настройках БД разрешите только localhost, символ % дает доступ любому
Не ставьте стандартные пароли - буквально не давно наткнулся на сайт одного из министерств (оф сайт), с логином root и пустым паролем - ставится по умолчанию веб окружением битрикс
Так же, если ваш сайт имеет репозитарий, позаботьтесь о том что бы он был закрыт для посторонних глаз а не находился в открытом доступе.



Надеюсь эта информация будет кому то полезной
Если инфа полезная жмем спс
28.01.2018 13:08
OlegON
 
Правильно ли я понимаю, что суть-то в том, что пароли от БД лежат в git, а сама БД торчит задом в интернет?
28.01.2018 13:09
aldemko
 
Верно. и пароли от бд, и файлы конфигурации и прочие файлы которые не должны быть видны посторонним
К примеру некоторые разработчики битрикса, не имеющих особо моральных принципаов , вшивают в систему файл авторизации в админ панель, он не меняет ни пароля ничего просто дает вход в панель. а там уже что надо то и делай

К примеру
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.


В этом примере информация не актуальна - репозитарию 5 лет, но наглядно показывает мысль которую хотел донести

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
28.01.2018 13:36
OlegON
 
мда, немного, но есть...

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 21 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
28.01.2018 13:39
aldemko
 
Запрос не тот. Но суть примерно такова. Здесь же не форум по взлому, поэтому не публикую запрос который выведет десятки а то и сотни страниц, а у каждого юзера может быть и не 1 проект а 10 и более. В общем инфы валом.
Суть поста на наступайте на грабли других и храните свои данные безопасно
28.01.2018 13:42
OlegON
 
Да, углубляться не надо, а суть интересная, да...

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.