Metodzie SQL Injection mówię: Spadaj na drzewo!
Po zapoznaniu się z materiałem przygotowanym przez @trzepiza na temat możliwości "dobrania" się do hasła administratora Joomla, przygotowałam odpowiedź w postaci plugina.
Ciekawski przy próbie przeczytania hasła spotyka się z właściwą odpowiedzią naszego "złośliwego" dodatku np. :"Spadaj na drzewo".
Oczywiście jest to jedna z opcji. Można w konfiguracji wpisać fałszywe hasło, które zaszyfrowane metodą Joomla będzie udawało prawdziwe.
Do wyboru jest również czyje hasła mają być ukrywane przy takiej próbie ataku: Super Administratorów, Wszystkich mających dostęp do panelu admina albo Wszystkich użytkowników.
Przy dużej liczbie użytkowników, ukrywanie wszystkich haseł może być dużym obciążeniem dla szybkości działania witryny.
Plugin podobnie potraktuje każdy kod, który będzie próbował wyświetlać hasła z tabeli jos_users (nazwa jos_users została podana przykładowo, niezależnie od użytego przedrostka - plugin będzie działał).
Plugin został przetestowany przez @trzepiza w "trudnych" warunkach i spisał się dobrze. Załączam paczkę instalacyjną. Po zainstalowaniu - skonfigurować i włączyć.
Testowanie może polegać na umieszczeniu w dowolnej części strony kodu, który będzie usiłował wyświetlać hasło.
Zapraszam do testowania.
Cytuj