Modificare pagine web scavalcando il CMS.

7 risposte [Ultimo contenuto]
Ritratto di theShort
theShort
(Collaboratore)
Offline
Collaboratore
Iscritto: 02/08/2006
Messaggi: 595

Ciao a tutti,
ho da porvi una domanda insolita.
L'azienda per cui lavoro possiede un sito internet che viene aggiornato tramite un CMS. Non conosco molto bene i dettagli tecnici, ma credo che questo CMS sia stato sviluppato dalla stessa società che ha creato il sito. Ad ogni modo, non abbiamo più contatti con questi signori e sarebbero gradite alcune piccole modifiche alle pagine web.

La mia domanda è: è possibile intervenire sul codice che struttura la pagina scavalcando il CMS?

Per farvi un esempio semplice, si vorrebbe aggiungere i pulsanti dei principali social network su alcune pagine e per fare ciò serverebbe intervenire sulla struttura delle pagine, ma il CMS gestisce solo i contenuti.

Purtroppo non sono molto pratico su questo fronte. Chi di voi ci sguazza in questo campo può fornirmi qualche informazione precisa?

Grazie a tutti!

.theShort Big Grin

Ritratto di kripsio
kripsio
(Collaboratore)
Offline
Collaboratore
Iscritto: 10/09/2004
Messaggi: 1511

io ci sguazzo giusto "un pochino" Wink : purtroppo in quello che illustri non c'è NESSUN elemento utile. Il mio consiglio è: contattate un' agenzia e fatevi fare un' analisi. Di che zona sei?

Ritratto di theShort
theShort
(Collaboratore)
Offline
Collaboratore
Iscritto: 02/08/2006
Messaggi: 595

ciao Kripsio e grazie per l'interessamento. Smile

Mi aspettavo una risposta simile, però non essendo del settore speravo ci potesse essere una qualche soluzione "casereccia" e a costo zero. Per intenderci, tipo una sorta di hacking delle pagine interessate che mi consentisse di inserire il codice necessario al mio scopo, nonostante l'unica interfaccia che mi consenta di interagire con il sito sia quella del CMS.
Documentandomi un po' ho visto che in un CMS ci si può loggare con utenti diversi che hanno privilegi diversi. Non sò se è una cosa generale, comune a tutti i CMS. Al momento ci si accede come utente "editor" e probabilmente se si riuscisse ad accedere con utente "admin" o simile, si riuscirebbe ad ottenere i privilegi necessari per portare a termine lo scopo. Ma non credo che all'azienda per cui lavoro sia stata fornita una password per un utente "admin" oltre a quella di "editor"...

Il sito è piuttosto recente, 3 anni circa, ma progettato sulla base di idee approssimative. Sad A mio avviso andrebbe rifatto da principio, ma non credo che il mio capo abbia intenzione di mettere a bilancio un nuovo sito internet...

Staremo a vedere.

Comunque sono della provincia di Varese.

Ciao ciao!

.theShort Big Grin

Ritratto di Claudio_fe11
Claudio_fe11
(Collaboratore)
Offline
Collaboratore
Iscritto: 03/02/2011
Messaggi: 454

Hi theShort,

di solito le modifiche si apportano (sul mio sito e su quello del mio LUG realizzati con Joomla) dal back end del CMS o col programma ftp "filezilla"; ma, ovviamente, bisogna aggirare/superare il problema del login: nome e password dell'amministratore. Sad

Ma non è escluso che ci sia qualche altro metodo.

A presto

Claudio

"Scriva le equazioni sulla lavagna". Poi aggiunse,
"Per favore vada piano, non afferro le cose molto in fretta".

Albert Einstein

Ritratto di kripsio
kripsio
(Collaboratore)
Offline
Collaboratore
Iscritto: 10/09/2004
Messaggi: 1511

Oltre al fatto squisitamente tecnico possono esserci conseguenze legali a quello che avevi intenzione di fare. Anche se tu potessi ed avessi le competenze potrebbero esserci clausole contrattuali. Quindi:
a) rischi di fare danni
Cool potrebbe esserci dietro l'angolo una denuncia per violazione di contratto

Per l'agenzia nella tua zona dai un' occhio a chi cura questi portali, con il loghino in fondo in fondo.... Wink Ciaooo Smile

Ritratto di theShort
theShort
(Collaboratore)
Offline
Collaboratore
Iscritto: 02/08/2006
Messaggi: 595

kripsio ha scritto:

Oltre al fatto squisitamente tecnico possono esserci conseguenze legali a quello che avevi intenzione di fare. Anche se tu potessi ed avessi le competenze potrebbero esserci clausole contrattuali. Quindi:
a) rischi di fare danni
Cool potrebbe esserci dietro l'angolo una denuncia per violazione di contratto

Eh lo so, hai ragione. Non ho idea di cosa prevedeva il contratto, però per tre miseri pulsantini... Big Grin
Oggi un mio collega mi ha detto che lui si ricordava che fosse stata lasciata anche un'altra password che probabilmente è quella dell'utente "admin". Se riesce a ritrovarla il gioco è fatto. Forse...

kripsio ha scritto:


Per l'agenzia nella tua zona dai un' occhio a chi cura questi portali, con il loghino in fondo in fondo.... Wink Ciaooo Smile

Laughing si si lo so che i fratelli Mainardi si sono insediati nelle mie terre! Se al mio capo magari salta in mente di rifare il sito li propongo subito. Big Grin

Comunque oggi, con filezilla, ho fatto un giro sullo spazio server del nostro provider dove risiede il sito. Sono tutti file in php, non saprei proprio dove mettere mano... Confused

Grazie a tutti!

.theShort Big Grin

Ritratto di apofis
apofis
(Monster)
Offline
Monster
Iscritto: 19/09/2007
Messaggi: 309

Ciao,
col filezilla recupera le pagine header.php, footer.php e/o header.html foooter.html
In genere in quelle pagine c'è qualche riferimento al tipo di cms utilizzato.
La maggior parte sono Joomla, WordPress e Drupal.

Comunque la password di admin non è un problema recuperarla, basta sapere che cms è. Poi si può andare sulla tabella del db che "stora" queste info e si cambia Wink

Tieni presente che se è stato utilizzato un CMS opensource NESSUNA AGENZIA può vantare diritti su di voi, può, al massimo, avervi fatto sottoscrivere un contratto di assistenza. Ma l'assistenza (l'italiano è una lingua perfetta cazzo!!) non implica essere prigionieri Wink, a maggior ragione se questo contratto e terminato.

Diverso è se è stato utilizzato un cms commerciale, ma in quel caso l'agenzia avrebbe dovuto lasciarvi una copia della licenza acquistata oltre all'eventuale contratto di assistenza e cmq a tutti i dati di acesso.

In ambedue i casi NESSUNO può impedire l'accesso amministrativo al vostro portale, quindi vi consiglio di chiamare l'agenzia ed intimargli di consegnarvi tutte le credenziali di accesso amministrativo (sito, ftp, mysql,posta, ecc...) per il vostro dominio.
Ho una certa esperienza in queste cose, tanto da affermare senza ombra di dubbio alcuno che il 90% di queste pseduo agenzie lavorano in regime di violazione delle più semplici normative.

Buon fortuna.

p.s.
se puoi posta il link del sito, chi è del settore lo capisce al volo il cms utilizzato, anche con tutta la grafica del mondo cambiata.

I@ legge Apo-genetica: chini nascia tunnu un ci mora quatratu.
II@ legge Apo-genetica: munnu e munnu un s'incontranu mai, ma cristiani e cristiani sì
III@ legge Apo-genetica: si vidi nu ghiegghiu e nu lupu, ammazza 'u ghiegghiu!

Ritratto di apofis
apofis
(Monster)
Offline
Monster
Iscritto: 19/09/2007
Messaggi: 309

Per esempio, se il CMS è JOOMLA c'è questa procedura semplicissima:

Citazione:

If you have access to your configuration.php file for the Joomla installation on your server, can recover the password using the following method.
1.) Using an FTP program connect to your site. Find the configuration.php file and look at the file permissions. If the permissions are 444 or some other value, then change the permissions of the configuration.php file to 644. This will help prevent issues when uploading the changed configuration.php file later in this process.
2.) Download the configuration file.
3.) Open the configuration.php file that was downloaded in a text editor such as notepad++ and add this line
public $root_user='myname';
to the bottom of the list where myname is a username with administrator access that you know the password for. An username that is Author level or higher can also be used in place of a username with administrator access.
4.) Save the configuration.php file and upload it back to the site. You may leave the permissions on the configuration.php file at 644.
This user will now be a temporary super administrator.
5.) Login to the back end and change the password of the administrator user you don't have the password for or create a new super admin user. If you create the new user you may want to block or delete the old user depending on your circumstances.
6.) When finished, make sure to use the "Click here to try to do it automatically" link that appears in the alert box to remove the line that was added to the configuration.php file. If using the link was not successful, then go back and delete the added line from your configuration.php file using a text editor. Upload the configuration.php file back to the site.
7.) Using your FTP program verify the file permissions of the configuration.php file, they should be 444. If you manually removed the added line, then change the file permissions on the configuration.php file to 444.
If you have no users who know their passwords and you can't utilize front end registration you may need to make a change in your database as outlined below in this document.

I@ legge Apo-genetica: chini nascia tunnu un ci mora quatratu.
II@ legge Apo-genetica: munnu e munnu un s'incontranu mai, ma cristiani e cristiani sì
III@ legge Apo-genetica: si vidi nu ghiegghiu e nu lupu, ammazza 'u ghiegghiu!