• XSS.stack #1 – первый литературный журнал от юзеров форума

Защита РНР скриптов от, любопытных пользователей.

Отслеживать

MCDeveloper

floppy-диск
Пользователь
Регистрация
22.03.2006
Сообщения
4
Реакции
0
На написание данной статьи, меня подтолкнуло то, что несколько раз была необходимость закрыть свой код от посторонних глаз. Точнее не сам код, как пароли к БД, которые были в некотором РНР-файле...

Сколько я бы не пытался кодировать его в Zend, все равно, существует множество сервисов, которые за 20-30 баксов, смогут расшифровать этот код (http://phpdecode.com). А пароль на нужную БД стоит в несколько десятков раз больше... Раньше, мне необходимо было получать некоторые данные из скриптов, которые расположены на других серверах... Отсюда пришла идея: а что если я буду получать пароль из другого сайта???

Переходим к кодингу:
---
Схема будет состоять из двух скриптов. Скрипта вызова (1) и скрипта которого вызывают (2).
Теперь нам необходимо узнать IP-адрес сервера, где будет лежать скрипт (1).
Допустим он: 1.2.3.4
Теперь на свой сервер закачиваем скрипт (2), который содержит след. код:
...

Продолжение: http://forum.mcdeveloper.com/index.php?showtopic=15
 
=[ Author: MCDeveloper.com
=[ Date: 22.03.2006
=[ Subject: Защита РНР-кода

На написание данной статьи, меня подтолкнуло то, что несколько раз была необходимость закрыть свой код от посторонних глаз. Точнее не сам код, как пароли к БД, которые были в некотором РНР-файле...

Сколько я бы не пытался кодировать его в Zend, все равно, существует множество сервисов, которые за 20-30 баксов, смогут расшифровать этот код (http://phpdecode.com). А пароль на нужную БД стоит в несколько десятков раз больше... Раньше, мне необходимо было получать некоторые данные из скриптов, которые расположены на других серверах... Отсюда пришла идея: а что если я буду получать пароль из другого сайта???

Переходим к кодингу:
---
Схема будет состоять из двух скриптов. Скрипта вызова (1) и скрипта которого вызывают (2).
Теперь нам необходимо узнать IP-адрес сервера, где будет лежать скрипт (1).
Допустим он: 1.2.3.4
Теперь на свой сервер закачиваем скрипт (2), который содержит след. код:
============
<?
if($REMOTE_ADDR!='1.2.3.4')
{
exit("IE Rulez");
}
else
{
// Запрос от нашего сервера.
Echo "password";
}
============
Теперь собственно на сервер (1) закачиваем скрипт (1) и пишим:
$mypassword = join("", file("http://target.com/script2.php"));
Для уверенности можно закодировать в Zend. Пусть хакИр помучается

Мысль можно развивать дальше и закачивать целые куски РНР-кода... только следует учитывать, что возможно по какой-то причине ваш сервер не отозвется или упадет, в таком случае работа скрипта (1) будет невозможна ))) Будьте осторожны.
==


ну и бред... а время на скачку скрипта куда девать ?
 
MCDeveloper
>Ну,... на нормальных серверах ~ 0.1-0.3 сек, так что особо не стоит заморачиваться
отлична, а теперь ответь на самый главный вопрос допустим ломается сервер 2 ))) и хакирь находит скрипт вида
<?
if($REMOTE_ADDR!='1.2.3.4')
{
exit("IE Rulez");
}
else
{
// Запрос от нашего сервера.
Echo "password";
}

и получает заветный пас ))) тогда в итоге получается что ломается и сервер 1 )

и наконец, допустим ломается сервер 1, и имеется возможность писать файлы , и что ты собираешься делать тогда ? весь же метод твой летит к чертям...
 
"и получает заветный пас ))) тогда в итоге получается что ломается и сервер 1 )

и наконец, допустим ломается сервер 1, и имеется возможность писать файлы , и что ты собираешься делать тогда ? весь же метод твой летит к чертям..."

1. Если хакер случайно ломает сервер 2, не зная про сервер 1, то он не поймет в чем дело :)) гарантирую.

2. Если ломаеться сервер 1, а потом сервер 2. то что-то очень трудно верится, что сервер 2 можно поломать через этот скрипт + если даже и поломают 2 сервака, то ничто не мешает зашифровать и этот пароль. Алгоритмов хватает.

Просто я описал еще один способ, как можно предовратить левый вход.
 
>1. Если хакер случайно ломает сервер 2, не зная про сервер 1, то он не поймет в чем дело ) гарантирую.
:fool:
$REMOTE_ADDR!='1.2.3.4' , тут же не по албански ип написан =)
>2. Если ломаеться сервер 1, а потом сервер 2. то что-то очень трудно верится, что сервер 2 можно поломать через этот скрипт + если даже и поломают 2 сервака, то ничто не мешает зашифровать и этот пароль. Алгоритмов хватает.
ломаем тока сервер 1 , дампим траф, получаем адрес сервера 2 и имя скрипта, читаем, получаем шифрованый пас, расшифровываем :fuck:
 
А зачем пароли держать в PHP файле, я это не очень понимаю, какая в этом большая необходимость, или иначе просто никак? Я к тому, что устраивать такие квесты как-то не очень рационально, а по защите данных есть много других более действенных способов.
 
2 ami.ro :
суть не втом что пароль в php
а в том что он на другом сервере

Отсюда пришла идея: а что если я буду получать пароль из другого сайта???

а php не php не имеет значения
 
>А нафиг нам пароли?? )))
а тогда зачем их прятать ?
>ну ломани mazafaka.info
а нафига ?
подпись "РНР глазами хакера. Рассылка." говорит всё о человеке и его знаниях =)
 
to Маринка

Ага, кажется понял - это по принципу : зачем просто когда можно сложно.

Ну, что я могу сказать... я бы так не сделал, но вольному воля, а спасенному - рай.
 
>А в локальном файле разве нельзя держать пароли, за пределами 'public_html'?
ну всяко твои скрипты будут его читать , так что клади хоть куда... полюбому он будет читаемым
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх