Yii - Hack, kelemahan XWebDebugRouter

Cuman mau share saja, hati2 pakai XWebDebugRouter, jangan sampai mau cara singkat, tapi akhirnya malah bisa kebobolan.

Saya sudah googling dan mendapatkan beberapa site yg bisa saya hack databasenya dikarenakan extension XWebDebugRouter

Kelemahannya adalah pada saat setting di config nya


array(

	'class'=>'XWebDebugRouter',

	'config'=>'alignLeft, opaque, runInDebug, fixedPos, yamlStyle',

	'levels'=>'error, warning, trace, profile, info',

	'allowedIPs'=>array('127.0.0.1',"$_SERVER['REMOTE_ADDR']"),

),

kesalahannya dia memasang allowdIPs => $_SERVER[‘REMOTE_ADDR’]

akhirnya pada saat saya mengakses websitenya saya bisa melihat tampilan XWebDebugRouter yang didalamnya isinya ada hostname, username, and password yang tidak di encrypt … ooo o owwwwww. kena dech

btw pas searching2 saya juga mendapatkan ide pas membaca blog seseorang.

dia kreatif membedakan confignya menjadi 2 : untuk developer and production

pas saya coba terapkan bagus juga… and lebih aman.

wah penting ini gan…

tapi yang agan sebutin tadi mahluk apa sih?

mahluk yg mana tu gan … ^^

loh apa enaknya gak dimatikan aja fasilitas debug kalo udah tahap production?

setau ane sih… makhluk "XWebDebugRouter" itu diconfig pas pake extensions yiidebugtb.

betul 100% … tapi kadang gw butuh sih buat ngecek2, maklum belom sampai tahap advance.

baru coba2 doank neh ane, kadang kalo lagi ngerjain sesuatu dan mentok jadi pusing sendiri ^^.