ในนี้มีใครเขียนเว็บเป็นบ้างคะ

[naisomchai]

ผมลองโหลด template ของ joomla (1.7) มาทำการแก้ไข เพื่อจะดึงข้อมูล user/password ของ DB และ FTP
เอาเพียงแค่แสดงออกมาที่หน้าเว็บนะครับ แต่ถ้าจะให้ส่ง mail ด้วยเท่าที่ดูแล้วสามารถส่งได้เลย
โดยทดลองที่เครื่องตัวเอง สามารถทำงานได้โดยที่ joomla เองก็ทำการติดตั้งปรกติ  ตัวทีแก้ไขโหลดได้ที่ http://file.uploadfile.biz/i/EXIEMEIIIWMNWM

ต้นฉบับ โหลดที่ http://www.siteground.com/template_download.htm?id=2030e2c4d6567195176339b4fdbe5960
หน้ารวม http://www.siteground.com/joomla-templates.htm


 

โอ้... เห็นแล้วครับ, ซอร์สโค้ดที่ว่า...

DB user : <?php echo $config->getValue( 'config.user' ); ?>

DB password: <?php echo $config->getValue( 'config.password' ); ?>

DB host: <?php echo $config->getValue( 'config.host' ); ?>

DB db: <?php echo $config->getValue( 'config.db' ); ?>

DB dbprefix: <?php echo $config->getValue( 'config.dbprefix' ); ?>


FTP ftp_host: <?php echo $config->getValue( 'config.ftp_host' ); ?>

FTP ftp_port: <?php echo $config->getValue( 'config.ftp_port' ); ?>

FTP ftp_user: <?php echo $config->getValue( 'config.ftp_user' ); ?>

FTP ftp_pass: <?php echo $config->getValue( 'config.ftp_pass' ); ?>

FTP ftp_root: <?php echo $config->getValue( 'config.ftp_root' ); ?>

เล่นง่ายๆเลย ด้วยการให้ไปอ่านค่าข้างในไฟล์ดื้อๆ, แต่ยังไม่ได้ทดลอง เพราะคอนฟิกเครื่องฯ เอาไว้สำหรับทำงานอย่างอื่นเอาไว้ครับ... เอาไว้มีเวลาเมื่อไหร่จะทดลอง เพราะต้องคอนฟิกเครื่อง+ลงโปรแกรมใหม่อีกเพื่อให้ทดลองได้ครับ, คือนายสมชายยังติดใจว่ามีการเซ็ตสิทธิของแต่ละไดเร็กตอรี่เอาไว้ยังไงน่ะครับ ถึงได้อ่านออกมาได้ดื้อๆแบบนี้เลย...

แต่อย่างไรก็ดี ต้องขอบคุณที่ชี้ให้เห็นช่องโหว่ฯ ครับ... เย้...

ผมมี backup อยู่ ไฟล์ ต้องไปค้นครับ ว่ามันเข้ารหัสด้วย ต้องไปค้น backup เก่า ๆ วันใหนว่าง จะลองเอามาให้ดูครับ ที่ เวปไซค์ผมโดน hack

ตามตัวอย่างของคุณ muskey, เขาเอาไปแปะไว้ที่ส่วนหัวของไฟล์ index.php ครับ... ไม่ได้เข้ารหัส ใช้ Notepad เปิดได้ครับ...

[kensiro]

ส่วนใหญ่จะโดนกับมือใหม่ หรือพวกที่รู้แล้ว เอาไว้ก่อน อย่างผม นี่ ที่เวปยังมีช่องโว่ เยอะมาก แต่เอาไว้ก่อน เพราะ ไม่กลัว ผม มี  back up code และ database ไว้แล้ว

[RMAY]

มึนตื๊บ 

[ขุนช้าง-รักในหลวงและสมเด็จพระเทพ]

พนันได้เจ้โอมีงงงานนี้

[ozero++รักในหลวงมากค่ะ++]

งง หลายตลบเลยอ่ะค่ะ
ทำให้รู้ว่าสิ่งที่เรารู้นั้นแค่ขี้ของตัวไรฝุ่นๆเท่านั้นเอง

[ozero++รักในหลวงมากค่ะ++]

อย่างไรก็ดี จะค่อยๆอ่าน และจะพยายามทำความเข้าใจค่ะ ขอบคุณทุกๆท่านมากค่ะ

วันนี้โดนเลื่อนประชุม ไปเป็นพรุ่งนี้แทนอ่ะค่ะ

[ozero++รักในหลวงมากค่ะ++]

สำหรับเจ๊โอ...

หากศึกษาแล้วจะใช้จูมล่า(หนังสือบนแผงมันมีแยะที่สุด) ก็ไม่ต้องกังวลเรื่องจะโดนแฮกจากเท็มเพลตนะครับ... เรามีวิธีป้องกันโดยเลือกใช้เท็มเพลตจากผู้ผลิตที่มีมาตรฐานซึ่งมีอยู่ไม่กี่เจ้า แล้วหากเท็มเพลตตัวไหนติดตั้งด้วยวิธีปรกติ(ตามคู่มือจูมล่า)แล้วไม่ผ่าน ก็ไม่ต้องไปเปิดสิทธิโน่นนี่ตามมันนะครับ...

ในที่สุดเจ๊โอจะใช้เท็มเพล็ตแค่ปีละ  2 - 3 ตัวเท่านั้นเอง... เพราะเราจะเอาเท็มเพลตมาโมใหม่ให้เป็นเอกลักษณ์ของเรา ใช้งานไปได้สักค่อนปี ก็เปลี่ยนหนึ่งทีครับ...

ตามคุณสมชาย(ฮา) ว่าไว้ครับเป็นวิธีป้องกันที่ดีเลยครับ ที่สำคัญคืออ่านให้ดี ก่อนจะทำขั้นต่อนต่อไป เพราะที่เจอมากด  next  next  next  next กันอย่างเดียว

ครับ เจ้โอ  (ชื่อเหมือน ภรรยา ผม เลย ไม่รู้ โหดเหมือนกันหรือเปล่า ) กระทุ้นี้ให้เน้น ที่ น้าสมชาย กับท่าน muskey == รักในหลวง == นะครับ เพราะผม ชอบแถ ครับ กิกิ

คนชื่อนี้มักจะนิสัยน่ารักค่ะ