• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Haker odgadł moje hasło. Czy to wina PHPMailera?

Aruba Cloud VPS - 50% taniej przez 3 miesiące!
0 głosów
469 wizyt
pytanie zadane 23 marca 2021 w Bezpieczeństwo, hacking przez bbarcik Nowicjusz (120 p.)

Cześć Jestem Basia :) Ostatnio uczę się tworzyć strony internetowe i napisałam od podstaw stronę, która zawiera formularz kontaktowy. Aby móc sprawdzić czy mój kod php działa poprawnie wrzuciłam ją na serwer. Założyłam darmowe konto na cba.pl. Najpierw korzystałam z funkcji mail(), ale okazało się, że ta funkcja jest zablokowana wersji free - wiem jestem blondyną xD Dlatego w następnej kolejności skorzystałam z PHPMailera. Wszystko zadziałało idealnie, jednak po krótkim czasie otrzymałam maila od Hackera z moim prawdziwym hasłem :(((( 

Czy jest możliwe żeby ktoś mógł dostać się do mojego pliku php i odczytać hasło które musiałam podać przy konfiguracji ? dodam że nie zastosowałam jeszcze żadnej walidacji danych w formularzu w htmlu. Poniżej kod z pliku php:

<?php

use PHPMailer\PHPMailer\PHPMailer;


require_once 'phpmailer/Exception.php';

require_once 'phpmailer/PHPMailer.php';

require_once 'phpmailer/SMTP.php';



$alert = "";



$mail = new PHPMailer(true);



if(isset($_POST['submit']))

{

$name = $_POST['name'];

$email = $_POST['email'];

$message = $_POST['message'];

$number = $_POST['number'];


try{

$mail->isSMTP(); // send as HTML

$mail->Host = 'mail.cba.pl'; // SMTP servers

$mail->SMTPAuth = true; // turn on SMTP authentication

$mail->Username = 'tu był mój mail na cba'; // Your mail

$mail->Password = 'a tu było haslo'; // Your password mail

$mail->Port = 587; //specify SMTP Port

$mail->SMTPSecure = 'tls';

$mail->CharSet = 'utf-8';

$mail->isHTML(true);

$mail->setFrom('tu był mój mail na cba');

$mail->addAddress('a tu prawdziwy mail');

$mail->Subject='Message received (contact Page)';

$mail->Body='

<div style="margin: auto; color: #999999; border: 1px solid #000000">

<h1 style="color: #007bff;">Masz nową wiadomość od: '.$name.'</h1><br>

<p>E-mail: '.$email.'</p><br>

<p>Numer Telefonu: '.$number.'</p><br>

<p>Treść Wiadomości: '.$message.' </p>

</div>';


$mail->send();

$alert = '<div class="alert-success">

<span>Message Sent! Thank you for contacting us.</span>

</div>';


}catch(Exception $e){

$alert = '<div class="alert-error">

<span>'.$e->getMessage().'</span>

</div>';

}

}

?>

 

czy może coś źle wrzuciłam na serwer? 

 

 

1 odpowiedź

+1 głos
odpowiedź 23 marca 2021 przez Comandeer Guru (606,240 p.)

A jaki to był mail? Bo prawdopodobnie dostałaś jeden z masowo rozsyłanych maili. Jeśli używasz tego samego hasła w wielu miejscach, to jest spora szansa, że kiedyś już wyciekło wraz z e-mailem. Można to sprawdzić choćby na Have I been pwned?.

Jeśli korzystasz z tego samego hasła w kilku miejscach, to polecam je zmienić. A najlepiej zacząć stosować manager haseł i mieć osobne hasło do każdej strony.

komentarz 23 marca 2021 przez bbarcik Nowicjusz (120 p.)

O rety faktycznie! dziękuję bardzo za uświadomienie blush

jednak jeszcze dopytam, czy można jakoś ukryć hasło w phpmailerze? czy jest ono tam całkowicie bezpieczne?

komentarz 23 marca 2021 przez Comandeer Guru (606,240 p.)
Sposoby pewnie są (np. zmienne środowiskowe), ale hasło w kodzie jest w miarę bezpieczne i nie powinno wypłynąć tak długo, jak nie wypłynie sam kod.

No i zawsze można ograniczyć straty: użyj unikalnego hasła do maila z cba i wówczas nawet jak wypłynie, to ktoś będzie miał dostęp tylko do tego maila.

Podobne pytania

+1 głos
1 odpowiedź 4,327 wizyt
–2 głosów
2 odpowiedzi 1,227 wizyt
+1 głos
2 odpowiedzi 1,203 wizyt

93,180 zapytań

142,195 odpowiedzi

321,993 komentarzy

62,511 pasjonatów

Advent of Code 2024

Top 15 użytkowników

  1. 1873p. - dia-Chann
  2. 1848p. - Łukasz Piwowar
  3. 1831p. - CC PL
  4. 1827p. - Łukasz Eckert
  5. 1789p. - Tomasz Bielak
  6. 1769p. - Michal Drewniak
  7. 1761p. - Łukasz Siedlecki
  8. 1758p. - rucin93
  9. 1708p. - Adrian Wieprzkowicz
  10. 1668p. - Mikbac
  11. 1621p. - rafalszastok
  12. 1506p. - Marcin Putra
  13. 1356p. - ssynowiec
  14. 1289p. - Anonim 3619784
  15. 1232p. - Mariusz Fornal
Szczegóły i pełne wyniki

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 1 Wprowadzenie do ITsec, tom 2

Można już zamawiać dwa tomy książek o ITsec pt. "Wprowadzenie do bezpieczeństwa IT" - mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy aż 15% zniżki! Dziękujemy ekipie Sekuraka za fajny rabat dla naszej Społeczności!

...