Уязвимость сайтов на сервере к взлому из админки одного из них посредством конфига любой CMS.
Продолжение темы взлома сайтов на сервере из админки любой CMS. В этом видео показано, как обеспечить навигацию по серверу из простого скрипта, установленного на сайт из его панели управления. Как только в админке удаётся создать php-скрипт, который создаёт любой другой php-скрипт, можно полазить по серверу в поисках других сайтов, расположенных на нём. Конфигурационные файлы CMS плохо защищены от несанкционированного доступа из скриптов, расположенных на сервере, поэтому, конфиг сайта, с которого есть доступ в админку, читается сразу. Из конфигурационного файла узнаётся имя базы данных сайта, пользователь базы данных и его пароль. Дальше уже можно работать с базой данных сайта напрямую из любого php-скрипта. Например, можно создать второго админа или поменять пароль текущего администратора, не входя в админку, а напрямую средствами языка программирования PHP. Также, если на сервере есть другие сайты, работающие на CMS, есть большая доля вероятности, что их конфигурационные файлы доступны для чтения. А значит и ко всем другим сайтам можно получить доступ. В видео показано, как правильно назначать права конфигурационным файлам. Даже если прав на чтение конфига не хватает, есть вероятность записать простой PHP-скрипт в директории атакуемого сайта. Если это возможно, данный PHP-скрипт можно запустить уже с домена сайта и точно также, получив данные конфига CMS, получить полный доступ к сайту. В видео оказано, как возможно осуществлять навигацию по папкам на сервере со взломанного сайта и проверять на наличие других сайтов на атакуемом сервере. Данная информация предназначена для владельцев сайтов с целью их просвещения в вопросах безопасности и предупреждения взлома их серверов. Из видео должно быть понятно, что нужно проверять в настройках сервера, в настройках CMS, а также почему опасно давать админский доступ к сайту незнакомым людям. И почему опасно устанавливать пиратские, ворованные и взломанные программы к себе на сервер. Данная информация универсальна для любых CMS, имеющими средства редактирования шаблона сайта (Wordpress, Joomla, Bitrix, OpenCart, DLE и многие другие). Для сотрудничества: https://mb4.ru/support.html (подписывайтесь на канал, ставьте лайк и оставляйте комментарии под видео, я их читаю) ПОЛЕЗНЫЕ ССЫЛКИ НА СТАТЬИ С ПОДРОБНЫМИ ИНСТРУКЦИЯМИ: 1. Материалы по работе с phpMyAdmin - https://mb4.ru/programms/programs-for-hosting/phpmyadmin.html 2. Материалы по работе с PHP - https://mb4.ru/programming/php.html 3. Материалы по работе с Unix-подобными операционными системами - https://mb4.ru/operating-system/unix.html 4. Материалы по работе с WEB-сервером Apache - https://mb4.ru/programms/servers/apache.html #Joomla #безопасность #взлом #настройка #конфиг #php #сайт #сервер #администратор #правадоступа #привилегии #хакеры
Продолжение темы взлома сайтов на сервере из админки любой CMS. В этом видео показано, как обеспечить навигацию по серверу из простого скрипта, установленного на сайт из его панели управления. Как только в админке удаётся создать php-скрипт, который создаёт любой другой php-скрипт, можно полазить по серверу в поисках других сайтов, расположенных на нём. Конфигурационные файлы CMS плохо защищены от несанкционированного доступа из скриптов, расположенных на сервере, поэтому, конфиг сайта, с которого есть доступ в админку, читается сразу. Из конфигурационного файла узнаётся имя базы данных сайта, пользователь базы данных и его пароль. Дальше уже можно работать с базой данных сайта напрямую из любого php-скрипта. Например, можно создать второго админа или поменять пароль текущего администратора, не входя в админку, а напрямую средствами языка программирования PHP. Также, если на сервере есть другие сайты, работающие на CMS, есть большая доля вероятности, что их конфигурационные файлы доступны для чтения. А значит и ко всем другим сайтам можно получить доступ. В видео показано, как правильно назначать права конфигурационным файлам. Даже если прав на чтение конфига не хватает, есть вероятность записать простой PHP-скрипт в директории атакуемого сайта. Если это возможно, данный PHP-скрипт можно запустить уже с домена сайта и точно также, получив данные конфига CMS, получить полный доступ к сайту. В видео оказано, как возможно осуществлять навигацию по папкам на сервере со взломанного сайта и проверять на наличие других сайтов на атакуемом сервере. Данная информация предназначена для владельцев сайтов с целью их просвещения в вопросах безопасности и предупреждения взлома их серверов. Из видео должно быть понятно, что нужно проверять в настройках сервера, в настройках CMS, а также почему опасно давать админский доступ к сайту незнакомым людям. И почему опасно устанавливать пиратские, ворованные и взломанные программы к себе на сервер. Данная информация универсальна для любых CMS, имеющими средства редактирования шаблона сайта (Wordpress, Joomla, Bitrix, OpenCart, DLE и многие другие). Для сотрудничества: https://mb4.ru/support.html (подписывайтесь на канал, ставьте лайк и оставляйте комментарии под видео, я их читаю) ПОЛЕЗНЫЕ ССЫЛКИ НА СТАТЬИ С ПОДРОБНЫМИ ИНСТРУКЦИЯМИ: 1. Материалы по работе с phpMyAdmin - https://mb4.ru/programms/programs-for-hosting/phpmyadmin.html 2. Материалы по работе с PHP - https://mb4.ru/programming/php.html 3. Материалы по работе с Unix-подобными операционными системами - https://mb4.ru/operating-system/unix.html 4. Материалы по работе с WEB-сервером Apache - https://mb4.ru/programms/servers/apache.html #Joomla #безопасность #взлом #настройка #конфиг #php #сайт #сервер #администратор #правадоступа #привилегии #хакеры