Каким образом программы находят путь к файлам и бд?

Question

[Ingernirated]

Есть куча программ, которые находят содержимое сайта.
Каким образом они это делают, если весь php код спрятан и они понятия не должны иметь, что где и когда было отправлено через POST.
И как прячут файлы js с асинхронными запросами?

Answer 1

[Илья]

Эти куча программ, берут только frontend часть, backend скрипты они никогда не выгрузят.

Путь к БД можно засветить, если выводить ошибки и Exception, которые могут содержать конфиги подключения.
Ну либо конфиг хранится в каком нибудь json файле, который можно спокойно скачать.
Вообще если пользоваться нормальными фреймворками, то вероятность утечки подобных данных минимальна.

JS никак не прячут, можно спокойно зайти в консоль браузера и посмотреть куда и какие запросы идут.

В общем потеря таких данных это в большей степени тупость разработчика, чем ушлость хакера.

Comments

[Ingernirated]

а как же тогда асинхронно подгружают новости и при этом не светят БД?

[Илья]

Ingernirated: вам не хватает понимания HTTP и веб-сервера в целом. Все клиент-серверное взаимодействие (в рамках веб), это просто обмен HTTP сообщениями. AJAX - это асинхронный обмен HTTP сообщениями. Любое сообщение серверу идет на скрипт (в частности PHP), а скрипт уже обращается к БД. Ну и если уж на то пошло, то пример приведите где угоняют данные БД?

[Ingernirated]

Илья: https://www.youtube.com/watch?v=SOt0O1EroYc
Не подскажите полезную книгу для более ясного понимания вебсерверов и запросов?

[Илья]

Ingernirated: это называется Sql Injection ( https://ru.wikipedia.org/wiki/Внедрение_SQL-кода ). Популярные CMS типа Joomla, Wordpress, ... (которые особенно не обновлялись долго) на раз-два ломаются и ловят вирусню.

По поводу понимания HTTP и веб сервера как такового могу посоветовать только универ))) А так вообще гугл в помощь.

Answer 2

[Rou1997]

У вас каша в голове, ни к какой БД MySQL они не находят путь, еще скажите логин и пароль от БД, это был бы взлом, а на скрипты и CSS есть ссылки в HTML, как их браузер находит так же и программы эти, называется "недоверенная среда".

И как прячут файлы js с асинхронными запросами?

Никак их не спрятать, и файлы можно достать и еще HTTP-запросы "отсниффать", которые будет делать JS внутри страницы, запущенной в headless-браузере.
Единственное, что дает настоящую защиту, это Flash который сразу привносит новый стек технологий, включая протокол TCP вместо HTTP, и еще WebSocket который не так просто отследить, как AJAX (HTTP).

Comments

[Ingernirated]

Подскажите, почему все примеры с вебсокетами только на языках, где пишется сам сервер, а в пхп почти об этом не пишут, из-за этого пхп и не ценят или я не на те статьи заходил?