سلام
چند وقت پیش که تازه php یاد گرفته بودم شروع کردم یه سامانه ی اشتراک گذاری عکس خیلی ساده برای خودم درست کردم و در یک هاست رایگان بارگذاری کردم.
به تازگی دیدم که دو تا پرونده ی تازه بین دیگر پرونده ها رخنه کرده.
به نام های :
bb2.html و bbbb1.html
شامل:

<META HTTP-EQUIV="REFRESH" CONTENT="0;URL=http://...">
می خواستم بدونم این دو تا چگونه وارد هاست شده؟

کسی نبود؟؟:ناراحت:

دوست عزیز ما که علم غیب نداریم !

یک اسکریپتی یا چیزی بزارید تا ببینیم مشکل از کجاست ! هرچند که باز هم ممکن هست مشکل حل نشه تا زمانی که کل کد ها بررسی بشه !

ی سری هم به

http://barnamenevis.org/showthread.php?423435-%D8%A2%D9%BE%D9%84%D9%88%D8%AF-%D8%B4%D9%84-%D9%88-%D8%AC%D9%84%D9%88%DA%AF%DB%8C%D8%B1%DB%8C-%D8%A7%D8%B2-%D8%A2%D9%86

بزنید.

دوست عزیز ما که علم غیب نداریم !
:لبخند: اینو خوب گفتید.
ولی راستش من می خواستم شماها با توجه به تجربه تون بگین که کدوم گزینه ی امنیتی را که رعایت نکنیم چنین رویدادی ممکنه رخ بده.
برای نمونه اگر ایرادی در پایگاه داده به وجود اومده بود می گفتیم که کار sql injection و ... بوده.
اگر هم بخواین نشونی تارنما یا شناسه و رمز صفجه ی کنترل را به شما بدم ولی از اون چیزی دستگیرتون نمیشه.

دوست عزیز بهتره برید کلاس های آپلود فریم ورکهای مختلف رو بررسی کنید تا به مشکلی دارید پی ببرید!!!. مشکل کد شما اینکه به خوبی فایلهای آپلودی توسط کاربران رو بررسی نمیکنه! و احتمالا موقع آپلود فقط به بررسی پسوند فایل اکتفا میکنید.

اول اینکه در هنگام بارگذاری ، آزمایش می شه که اگه نوع یا پسوندش غیر از عکس باشه اجازه داده نشه.
دوم اینکه بر فرض اگر هم این گونه باشه که شما می گید ، این پرونده ها باید بره توی پوشه ی uploads و نه توی public_html.

دوست عزیز هکر خیلی زرنگتر از این حرفاس! در مورد آپلود shell تحقیق کنید :لبخندساده:

یه سر به اینجا بزنید http://barnamenevis.org/showthread.php?423435-%D8%A2%D9%BE%D9%84%D9%88%D8%AF-%D8%B4%D9%84-%D9%88-%D8%AC%D9%84%D9%88%DA%AF%DB%8C%D8%B1%DB%8C-%D8%A7%D8%B2-%D8%A2%D9%86