Üdvözlöm önöket! A napokban a drupal 6.os oldalamat támadás érte és a felhasználók jelszavai kikerültek az internetre. Ezért szeretném az összes felhasználó jelszavát alaphelyzetbe állítani vagy törölni, hogy illetéktelenek ne járkáljanak az oldalon. A segítséget előre is köszönöm.
Taxonomy upgrade extras:
Fórum:
Ezzel az erővel
Ezzel az erővel bombakészítési, vagy bankrablási tanácsokat is kérhetnél egy nyilvános felületen...:-) Nem hiszem, hogy pont itt fognak arra nézve tanácsokat adni, hogy lehet meghekkelni a Drupal-t.
Tehát ha jól értem
Tehát ha jól értem meghekkelnek egy drupalt, majd a jelszavakkal visszaélnek, akkor nincsen más teendő mint csendben üldögélni mert ha az ember kérdez még ő lesz a vádlott? :D Remek.De számomra elég hihetetlen, hogy esetleges biztonsági probléma esetén a drupal tehetetlen.
Gondolj csak bele. Nyílt
Gondolj csak bele. Nyílt színen kitárgyalni, hogy miként lehet tömegesen bizalmas felhasználói adatokat módosítani egy olyan rendszer esetében, ahol erre szabályos megoldás nincs, legfeljebb csak valamilyen trükközés, amivel esetleg jó ötleteket adhat a wanabe pistikéknek egy kis hekkerkedésre. Persze mindenki maga tudja, nyomni kell a jobbnál jobb tanácsokat, hol és milyen backdoorokat lehet nyitni a Drupal-on, akár a teljes felhasználói adatbázisra is. Lehet hogy túlaggódom a dolgot, de jobb az óvatosság...
Én azon a gondolatmeneten
Én azon a gondolatmeneten indultam el, hogy teljes hozzáféréssel az adatbázisban is lehet elvégezni bizonyos módosításokat. Hiszen mindnyájan láttunk már olyat, hogy maga az oldal nem engedett be vagy a rövid urleket költözés után az adatbázisban kapcsoljuk ki. Nyilván ezek nem a legjobb, legpontosabb példák de így talán más megvilágításba kerül a fenti témám. Sajnos a baj már megtörtént és a jelszavakat vissza is fejtették. Én olyan megoldást szeretnék ami meggátolja az ilyen fiókokkal való belépést. Laikus ésszel a jelszavak alaphelyzetbe állítása vagy a törlésük jutott az eszembe.
Az adatbázisban tudod törölni
Az adatbázisban tudod törölni, igaz egyesével.
Üdvözlettel: Black
Köszönöm a választ! A
Köszönöm a választ! A rengeteg user miatt azt hiszem ez nem járható út.
Én szigorúan (localhoston
Én szigorúan (localhoston először) ezt próbálnám meg a db-n:
UPDATE users SET password='';
Majd megnézném, hogy a username + üres pwd-vel be lehet-e lépni (szinte kizárt, még D6-nál is).
Aztán kipróbálnám, hogy a jelszóemlékeztető link működik-e.
Amúgy 99%, hogy ez így megy, hirtelen nem találtam semmit, ami ez ellen szólna - persze ettől még lehet, szóval át kell gondolni.
----
Rájöttem, miért kérdezek olyan ritkán a drupal.hu-n. Amíg szedem össze az infokat a kérdéshez, mindig rájövök a megoldásra.
Üdvözlöm. Köszönöm a választ.
Üdvözlöm. Köszönöm a választ. Ha lesz egy kis ideje leírná nekem ennek a pontos menetét lépésről lépésre? Sajnos nagyon kezdő vagyok a témába. Előre is köszönöm.
Májszíkjuelben a Drupálod
Májszíkjuelben a Drupálod adatbázisából kiválasztod a júzersz táblát, majd felül az SQL menüpontot és az SQL lekérdezések mezőbe becopyzod a kolléga szkriptjét, végül az indítás gombra kattintasz. Ahogy a kolléga is írta, figyelj rá, hogy működjön az új jelszó igénylése funkció, máskülönben se isten se hozzád, többet nincs belépés a többi felhasználónak, vagy küldözgethetsz nekik jelszót egyesével és akkor ott vagy, ahol a part szakad...:-)
Előtte azért még mentsd el a hashelt karakterláncot+a jelszót az 1-es felhasználó sorában a felhasználónévvel együtt, így végső esetben is vissza tudod majd módosítani a saját belépési adataidat a táblában.
A 7-esen kipróbáltam lokálban és nálam működik amit fentebb leírtam, a 6-oson szerintem szintén mennie kell...