Chào mừng bạn đến vói vietvbb.vn. Hãy Đăng nhập hoặc Đăng Ký để tham gia thảo luận tại diễn đàn.



Results 1 to 2 of 2

Thread: Bảo vệ các biến sau khi zend

  1. Bảo vệ các biến sau khi zend Detail »»

  2. Bảo vệ các biến sau khi zend

    • tomedison's Avatar
    • tomedison
    • Vietvbb.vn's Designer
    • Designer
    • Join Date
      17 April 2007
      Location
      Mỹ Đình - Hà Nội
      Age
      29
      Posts
      1.327
      Thanks
      1.412
      Thanked 2.645 Times in 511 Posts
      Rep Power
      185
    Rating:  (1 votes - 5,00 average)
    Bảo vệ các biến sau khi zend

    Như chúng ta đã biết, một số admin thường zend code để bảo vệ mã nguồn của mình, cũng như bảo mật các thông tin config quan trọng. Thế nhưng hacker chỉ cần một thủ thuật nhỏ: đoán và echo các biến, hay truy xuất qua biến $GLOBAL, dễ dàng thu được nội dung của các biến trong source đã zend => và cả thông tin config database của bạn.
    Vậy, làm thế nào để bảo mật hơn, có phải zend code chỉ là bảo vệ source?

    Trick 1:

    Thêm dòng lệnh này vào file config của bạn:

    PHP Code:
    defined'_MY_CONFIG_SECRECT_[chuỗi ngẫu nhiên]') or die( 'oh my god, nothing here' );
    //
    db_host=zzz;
    db_user =xxx;
    db_pass =yyy
    dòng lệnh trên có tác dụng gì? Khi attacker include file config của bạn, và xem các biến, y sẽ không nhìn thấy được các biến dưới dòng lệnh do hằng _MY_CONFIG_SECRECT_[chuỗi ngẫu nhiên] chưa được định nghĩa, và

    việc mò xem hằng này là gì là không thể ^_^.


    Để sử dụng được file config này, trong index.php (hay những file cần include config, bạn thêm vào dòng:

    PHP Code:
     define'_MY_CONFIG_SECRECT_[chuỗi ngẫu nhiên]'); 
    Như vậy, các biến trong file config sẽ chỉ được sử dụng từ index.php
    But, điều gì sẽ xảy ra khi attacker include file index.php của bạn, và bắt đầu truy xuất ngược các biến? Hiển nhiên là trong index.php lúc này đã include file config, và attacker dễ dàng nhìn thấy thông tin database của bạn

    Trick 2: mask config

    trong file index.php, bạn thêm vào những dòng sau ở cuối file:

    db_host = xxx; // đoạn này thích ghi gì thì ghi, miễn hông phải thông tin thật
    db_user = xxx; //
    db_pass = xxx; //

    Như vậy, khi view $GLOBAL, attacker chỉ nhìn thấy các biến đã được sửa đổi, không phải là thông tin thật của bạn.
    Tương tự trong file config: nếu attacker không nhìn thấy gì, có lẽ sẽ đoán được bạn đã làm gì trên file config, tại sao lại không show ra một ít thông tin giả ^_^
    Ta sửa lại file config như thế này:
    PHP Code:
    ìf(!defined'_MY_CONFIG_SECRECT_[chuỗi ngẫu nhiên]'))
    {
    host=anything;
    user =anything;
    pass =anything;
    }
    else
    {
    // config thực

    Trên đây là vài thủ thuật nhỏ để làm chậm bước hacker

    copyright IGO

  3. The Following 5 Users Say Thank You to tomedison For This Useful Post:

    dungpham (29 August 2008),hieupro1269 (31 August 2008),Mr.Rin (5 January 2009),Transcend HBV (24 July 2011),VietVBB Bot (29 August 2008)

  4. Comments

  5. #2
    Join Date
    3 April 2009
    Age
    30
    Posts
    9
    Thanks
    2
    Thanked 3 Times in 1 Post
    Rep Power
    11
    mình làm theo cái Trick 2: mask config mà nó báo lỗi database ai hỗ trợ giúp với



Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. Replies: 15
    Last Post: 27 November 2015, 05:44 PM
  2. Active Zend Guard 5.0.1 License 1 Year ( 100% Working )
    By cunbog in forum vBulletin Security BOX
    Replies: 16
    Last Post: 14 April 2012, 02:07 PM
  3. Hướng dẫn cài đặt IonCube + Zend Optimize trên SV Win
    By [v2b]®SiêuNoopy™ in forum Programming Articles
    Replies: 6
    Last Post: 18 May 2010, 02:57 AM
  4. Hướng dẫn mã hóa file bằng Zend Guard
    By Teen™ in forum vBulletin Security BOX
    Replies: 24
    Last Post: 1 September 2009, 11:32 PM
  5. [REQ] liên lạc với Ban biên tập
    By versace in forum vB3 Thảo Luận Lập Trình Mod
    Replies: 3
    Last Post: 31 August 2009, 11:00 AM

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •