Gt
Парни, у меня взломали сайт. Похоже взломали только BD. Кто специалист и поможет найти уязвимость? В Laravel какие есть слабые места?
Ищи RFC.
Size: a a a
2020 September 03
Gt
У меня есть пару форм, где я не подписывал данные CSRF токеном. Возможно ли что через это поле сделали SQL инъекцию?
Возможно конечно.
DF
Блин, прикольно, пойду рефакторить)
IN
Ищи RFC.
Можно чуть подробнее?
DF
@Helldar @fuad_first , еще раз спасибо)
AH
А как в последнем прописать методы get, post, put, delete?
Gt
@Helldar @fuad_first , еще раз спасибо)
Рад помочь.
AH
Парни, у меня взломали сайт. Похоже взломали только BD. Кто специалист и поможет найти уязвимость? В Laravel какие есть слабые места?
1. Проверь ключи
2. Вход SSH по паролю? Вырубай его к херам - только по сертификату.
3. Доступ к БД разрешён для всех адресов? Вырубай к херам - только локалхост.
APP_DEBUG и APP_ENV файла .env;2. Вход SSH по паролю? Вырубай его к херам - только по сертификату.
3. Доступ к БД разрешён для всех адресов? Вырубай к херам - только локалхост.
IN
1. Проверь ключи
2. Вход SSH по паролю? Вырубай его к херам - только по сертификату.
3. Доступ к БД разрешён для всех адресов? Вырубай к херам - только локалхост.
APP_DEBUG и APP_ENV файла .env;2. Вход SSH по паролю? Вырубай его к херам - только по сертификату.
3. Доступ к БД разрешён для всех адресов? Вырубай к херам - только локалхост.
Да, но пароль сложный
AH
Да, но пароль сложный
Как видишь, нет.
AH
Пароли ломаются на раз.
IN
1. Проверь ключи
2. Вход SSH по паролю? Вырубай его к херам - только по сертификату.
3. Доступ к БД разрешён для всех адресов? Вырубай к херам - только локалхост.
APP_DEBUG и APP_ENV файла .env;2. Вход SSH по паролю? Вырубай его к херам - только по сертификату.
3. Доступ к БД разрешён для всех адресов? Вырубай к херам - только локалхост.
Да, со всех разрешен. Грешил в свободное время на работе писал проект и там IP динамический.
IN
1. Проверь ключи
2. Вход SSH по паролю? Вырубай его к херам - только по сертификату.
3. Доступ к БД разрешён для всех адресов? Вырубай к херам - только локалхост.
APP_DEBUG и APP_ENV файла .env;2. Вход SSH по паролю? Вырубай его к херам - только по сертификату.
3. Доступ к БД разрешён для всех адресов? Вырубай к херам - только локалхост.
А ключи как проверить?
AH
А ключи как проверить?
Руками и глазами
IN
APP_DEBUG был выключен
AH
При грамотно настроенной Ларе через неё нельзя сломать ничего.
IN
APP_KEY=base64:gatiO4Ey*********fQ5R1Pykis7zqxLmhCoz4ykI=
Gt
Можно чуть подробнее?
Ошибся, CVE. Сверяйся с NIST и exploit-db и ищи в проекте.
IN
Просто проект писал ещё 2 года назад, когда совсем был зеленый и только изучал все. Там говнокод по большей части
Gt
Просто проект писал ещё 2 года назад, когда совсем был зеленый и только изучал все. Там говнокод по большей части
Вот и корень проблемы.