Lefteris Saroukos

programmer

tamantalakia.gr

Technologies

  • php
  • mysql

Description

Προστασία από επίθεση hacker

Challenges

Για να αποκαλυφθούν τυχόν αδυναμίες χρειάστηκε να επιτεθώ στην σελίδα. Μέσα από sql injection επίθεση ήταν δυνατή η διαρροή πληροφοριών που θα μπορούσαν να δώσουν root access.
Άλλαξαν οι αδύναμοι κωδικοί πρόσβασης. Κάποιοι κωδικοί αποτελούνταν από συνηθισμένες λέξεις και αριθμούς που μπορούσαν να "σπάσουν" από επίθεση λεξιλογίου.
Άλλαξε ο τρόπος αποθήκευσης των κωδικών, που μέχρι τότε αποθηκεύονταν σαν MD5 hashes.
Έγινε αλλαγή αδειών σε directories που ήταν προσβάσιμα από τρίτους