Świeżo po sql injection zainstalowałem i przetestowałem dodatek Spadaj.
Wrzuciłem z logów kod od hakjera i w rezultacie otrzymałem odpowiedź:
nazwa_konta_admina:8a4d00....5fd:GeELbMO.......Pde q2Yfk
I teraz pytania:
1. dlaczego w kodzie md5 pojawił się dwukropek? - kiedy próbowałem rozkodować wpis - niektóre stronki się orientowały, że coś nie jest tak i proponowały mi przetestowanie (rozkodowanie) pierwszej części.
2. wiem że nazwa_konta_administratora nie jest w bazie zakodowana, ale jeżeli wstrzyknięcie złośliwego kodu bez problemu pokazuje nazwę_konta to po co - jak sugerują poradniki bezpieczeństwa - w ogóle zmieniać nazwę, może wystarczy tradycyjny "admin"?
3. A może - można to jakoś zabezpieczyć?