Come nascondere o crittografare il config.php o il webconfig o il database? [chiuso]

Naviga le tue risposte
0
  1. Penso che il modo migliore per nascondere tutti sia quello di mettere il database su altro sito web host e codice sorgente sull'altro host Ma come crittografare il file di configurazione e il database. Se qualcuno ottiene tutto il codice sorgente e il database del sito Web ma non riescono a eseguire di nuovo l'installazione?
  2. Se qualcuno accede al server tramite il protocollo ssh con privilegio di amministratore, come possono rimuovere tutti i file di registro su server unix o linux. Se non è possibile ottenere root sul server, non è possibile rimuovere tutto il file di registro. Come può qualcuno assumere il privilegio di root o modificare chmod?
  3. Tranne lo strumento hashcat , qual è il modo migliore per controllare crittografia password tipo?
posta Rei 19.05.2017 - 07:09
fonte

3 risposte

1

If someone get all source code and database of website but they can't setup again?

Il più vicino che puoi fare è offuscare il modo in cui ottenere i dati. Lingue come PHP hanno una confusione con prodotti come ZendGuard. Ciò impedisce a un utente di capire facilmente la logica di un'applicazione. Questo è simile all'esecuzione di prodotti closed source, è possibile capire il flusso di esecuzione, ci vorrà solo più impegno.

Se decidi di crittografare qualcosa, la tua app deve ancora avere un modo per decriptare tali dati, come una chiave. Potresti provare a caricare questi dati al boot in memoria, in modo che (gli attaccanti) non possano leggerli da un file, ma vivranno nell'ENV, che è anch'esso accessibile.

If one can't get root on the server, they can't remove all log file. How can somebody take over root privilege or edit chmod?

Solitamente indovinando le credenziali locali o un exploit di escalation dei privilegi locali.

Except hashcat tool, what is the best to for check password encryption type?

Non sei sicuro di cosa intendi con "tipo di crittografia password", qualsiasi password cracker (come JohnTheRipper) farà un giro iniziale per determinare quale algoritmo di hashing è usato.

    
risposta data 20.05.2017 - 02:43
fonte
1

1: Se qualcuno ha accesso al tuo server, niente di tutto questo aiuta. Se l'applicazione può eseguire una query sul database, è possibile modificare l'applicazione per effettuare una query arbitraria.

Una cosa che puoi fare è utilizzare account di database separati per, ad esempio, lettura e scrittura, o per informazioni sensibili e non sensibili. Quindi l'SQL injection ne comprometterà solo uno, anche se questo non ti comprerà molto.

2: Qualcuno ottiene il privilegio di root da un account utente usando un "attacco di escalation di privilegi". Potrebbero sfruttare una vulnerabilità del kernel o del driver, un insicuro programma setuid o indovinare la password di root. Tieni presente che un utente malintenzionato non ha necessariamente bisogno dell'accesso root per causare danni: con un account utente, in genere possono leggere i tuoi dati, impostare la persistenza, ruotare su altri server, ecc. Probabilmente non possono ottieni le tue password del sistema operativo, installa un rootkit del kernel, o cancella i registri, però, quindi ci sono sicuramente alcuni vantaggi nell'ottenere la root.

3: È l'hashing della password, non la crittografia della password. Hashcat è probabilmente lo strumento più popolare, ma uno strumento più vecchio che potresti ricercare è chiamato "John the Ripper" (preferibilmente con la "patch Jumbo").

    
risposta data 20.05.2017 - 02:44
fonte
0

Se qualcuno ha il root sul server che nasconde la configurazione altrimenti non farà molto per proteggere l'accesso a mysql in quanto può semplicemente riavviarlo in safemode o accedere direttamente al file di dati .ibd

    
risposta data 19.05.2017 - 08:03
fonte

Leggi altre domande sui tag

Mostra CAPTCHA dopo che n tentativi falliti sono stati meno sicuri? [duplicare] La protezione di Symantec Endpoint continua a rilevare i file puliti come rischiosi