eraser_bc Опубликовано 11 Мая 2006 Жалоба Поделиться Опубликовано 11 Мая 2006 в форуме версии 2.1.6 были замечены уязвимостиодин из пользователей както получил доступ к админке может реально както ограничить доступ к админке по IP адресу ? или отдельным паролем ?помогите плиз Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Milse Опубликовано 11 Мая 2006 Жалоба Поделиться Опубликовано 11 Мая 2006 Не пугай так сильно.... Где ты выкопал инфу об уязвимости? Дай ссылку. А админку можно привязать к IP.И запрети сторонние аватары в админке, так как могут снифф заслать - http://dreamshell.h16.ru/hack/cookie_avatar_ipb.txt Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 TOIIOP Опубликовано 11 Мая 2006 Жалоба Поделиться Опубликовано 11 Мая 2006 to eraser_bc Это не уязвимость! Не надо давать ссылки с вашим зашифрованным паролем.. (щас уже не вспомню как это прально называется)Будьте внимательнее! Если форум в локальной сети, то могли украсть ваши куки и сменить ip (чтобы этого не случилось, делайте logout) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis_home Опубликовано 11 Мая 2006 Жалоба Поделиться Опубликовано 11 Мая 2006 TOIIOPНе понял Я постоянно ссылки даю в сетевом чате и на самом форума, на тему или определённое сообщение.Вот например: http://192.168.1.1/forum/index.php?s=&show...findpost&p=3993И это можно счатать я даю свой пароль? Наверное до меня не допёрло, он видимо ссылку в админку дал?Что-то типа : http://192.168.1.1/forum/admin.php?adsess=...*******894013f& (**** - я зашифровал ) MilseВ локалке это тоже реально провернуть? Кстати картинки же и в подпись можно ставить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 freeman85 Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 в локалке можно снифером утянуть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis_home Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 в локалке можно снифером утянуть.Надо это дело пофиксить Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 TOIIOP Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 TOIIOPНаверное до меня не допёрло, он видимо ссылку в админку дал?Что-то типа : http://192.168.1.1/forum/admin.php?adsess=...*******894013f& (**** - я зашифровал ) Угу, только этот код еще иногда к топикам дописывается... не обязательно в админке...не знаю от чего это зависит.. можт версия старая, можт браузер такой... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 eraser_bc Опубликовано 12 Мая 2006 Автор Жалоба Поделиться Опубликовано 12 Мая 2006 Не пугай так сильно.... Где ты выкопал инфу об уязвимости? Дай ссылку. А админку можно привязать к IP.И запрети сторонние аватары в админке, так как могут снифф заслать - http://dreamshell.h16.ru/hack/cookie_avatar_ipb.txtне пугаю все реально произошло - я сам офигелнашел выход из проблемы - перенес админку из файла admin.php в другой )а что значит "запрети сторонние аватары в админке" ? запретить загрузку аватаров с компа на форум ? to eraser_bc Это не уязвимость! Не надо давать ссылки с вашим зашифрованным паролем.. (щас уже не вспомню как это прально называется)Будьте внимательнее!Если форум в локальной сети, то могли украсть ваши куки и сменить ip (чтобы этого не случилось, делайте logout)хакнули не из локалки и я это знаю - по логам увидел"ссылки с вашим зашифрованным паролем" - ты имел ввиду сессии может быть ? слышал что нетрудно украсть ? у меня на форуме время жизни сессии - час стоит. на самом ли деле так легко украсть сессию у юзера ? Наверное до меня не допёрло, он видимо ссылку в админку дал?Что-то типа : http://192.168.1.1/forum/admin.php?adsess=...*******894013f& (**** - я зашифровал ) линки я не давал никому - это раз...два - как можно получить пароль из этого набора цифр ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 TOIIOP Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 два - как можно получить пароль из этого набора цифр ?Вот смотри ролик, правда там для старой версии, но с легкостью можно сделать для любой..(ссылку отправил в PM) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis_home Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 линки я не давал никому - это раз...два - как можно получить пароль из этого набора цифр ?И не надо его узнавать... Просто в адресе пишишь и он зайдёт в админку. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 eraser_bc Опубликовано 12 Мая 2006 Автор Жалоба Поделиться Опубликовано 12 Мая 2006 И не надо его узнавать... Просто в адресе пишишь и он зайдёт в админку. блин. вот это тупоооо вообще получаеться =/ глянуть историю и зайти в админку ... я в шоке просто от создателей IPB =) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis_home Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 И не надо его узнавать... Просто в адресе пишишь и он зайдёт в админку. блин. вот это тупоооо вообще получаеться =/ глянуть историю и зайти в админку ... я в шоке просто от создателей IPB =)А иначе ни как не заделать... Надо было как-то определять админа.Они заделали защиту. Если ты с чужого компа зашёл в админку, ключ активен до тех пор пока ты не зайдешь ещё раз в админку и ключ поменяется.Потом не было бы этого ключа любой бы смог зайти в админку. Короче админу запрещается тупить, и раздавать всем ссылки в админку. За этого его в бан Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 eraser_bc Опубликовано 12 Мая 2006 Автор Жалоба Поделиться Опубликовано 12 Мая 2006 это каким должен быть тупым админ чтобы раздавать линки на админу =) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 vasyast Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 В принципе, если администратор форума один, у него постоянный IP (персональный IP, а не на всю подсеть), то можно закрыть файл admin.php через дерективы в .htaccess. Так же можно убрать admin.php в другое место, вообщем изящрений в этом вопросе хватает. Если интересно, то в .htaccess можно прописать следующее (если ошибка, то попровте меня):<Files admin.php> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files>Где xxx.xxx.xxx.xxx ваш IP. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis_home Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 это каким должен быть тупым админ чтобы раздавать линки на админу =)во тож... В принципе, если администратор форума один, у него постоянный IP (персональный IP, а не на всю подсеть), то можно закрыть файл admin.php через дерективы в .htaccess. Так же можно убрать admin.php в другое место, вообщем изящрений в этом вопросе хватает. Если интересно, то в .htaccess можно прописать следующее (если ошибка, то попровте меня):<Files admin.php> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files>Где xxx.xxx.xxx.xxx ваш IP. Есть вариант попроще, в таком случаи. Не раздавать линки...А тему вы эту закройте. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 freeman85 Опубликовано 12 Мая 2006 Жалоба Поделиться Опубликовано 12 Мая 2006 нифигассе... а если проерять IP с которого была осуществлена аутентификация.Зачем с другого IP заходить в админку с тек. сессией, всеравно при входе запрашивается данные, и правильно. Но прикрепиться к IP нужно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 pres Опубликовано 13 Мая 2006 Жалоба Поделиться Опубликовано 13 Мая 2006 мощьный такой форум, платный и т.д. и такой баг, оч обидно, надеюсь разработчики обратят на это внимания и копитально исправят Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 vasyast Опубликовано 13 Мая 2006 Жалоба Поделиться Опубликовано 13 Мая 2006 мощьный такой форум, платный и т.д. и такой баг, оч обидно, надеюсь разработчики обратят на это внимания и копитально исправятУкажите на баг прежде чем так категорично говорить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis_home Опубликовано 13 Мая 2006 Жалоба Поделиться Опубликовано 13 Мая 2006 Опа и фиг там... Это ключ к IP привязывается Сегодня своего админа в пользователи перевел, дал ему прямую ссылку с ключом в админку, пишет "Не может быть запрошена сессия".Так что остыньте всё в поряде. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 13 Мая 2006 Жалоба Поделиться Опубликовано 13 Мая 2006 Админку защищаем хтацесом как было указано, но только ставим пароль а не проверку ip, и пароль через апач не говорим никомувсё. <Files admin.php> AuthName "ТокакВыхотитеназватьэто" AuthType Basic AuthUserFile /путькфайлу/.htpasswd <Limit GET POST> (значиттрипопыткиввода) require valid-user </Limit> </Files> Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 pres Опубликовано 13 Мая 2006 Жалоба Поделиться Опубликовано 13 Мая 2006 мощьный такой форум, платный и т.д. и такой баг, оч обидно, надеюсь разработчики обратят на это внимания и копитально исправятУкажите на баг прежде чем так категорично говорить. я про ссылку на админик, то что в ней сомой закодированый пароль Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Was Ist Das?! Опубликовано 14 Мая 2006 Жалоба Поделиться Опубликовано 14 Мая 2006 это каким должен быть тупым админ чтобы раздавать линки на админу =)во тож... В принципе, если администратор форума один, у него постоянный IP (персональный IP, а не на всю подсеть), то можно закрыть файл admin.php через дерективы в .htaccess. Так же можно убрать admin.php в другое место, вообщем изящрений в этом вопросе хватает. Если интересно, то в .htaccess можно прописать следующее (если ошибка, то попровте меня):<Files admin.php> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files>Где xxx.xxx.xxx.xxx ваш IP. Есть вариант попроще, в таком случаи. Не раздавать линки...А тему вы эту закройте. Возможно привязать к нескольким ипам? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 14 Мая 2006 Жалоба Поделиться Опубликовано 14 Мая 2006 http://www.iho.ru/faq/manual/htaccess.html#access Лучше к ипам не привязывать, я слышал, их можно как-то подделать Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Fox Mulder Опубликовано 16 Мая 2006 Жалоба Поделиться Опубликовано 16 Мая 2006 http://www.iho.ru/faq/manual/htaccess.html#access Лучше к ипам не привязывать, я слышал, их можно как-то подделатьэито если знать какой ИП подделать, а из хт.ассеса ты не вытянешь ИП разрешенный никак... т.е. у тя нету прав посотреть содержимое хтаццеса. п.с. у меня 2.1.5 ломанули 12 мая (доступ в админку юзер получил самовольно), я сделал апгрейт до 2.1.6, сегодня его опять сломали, причем меня удалили... пришлось вписать себя через пхпМайадмин юзером №1... получается баг есть и в 2.1.6... в клиент-центре знают как его фиксить? пока переименовал admin.php и поставил htaccess со своим ИП.... жду когда будет решение как баг устранить... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 darkden Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Уязвимость в 2.1.6 есть! Никаких ссылок на админку никому не давал, после того как сломали 2.1.5, всем были заменены принудительно пароли(поставить старый пароль нельзя)... так что проблема есть, есть логи запросов, думаю что инвижен проблему признает, вот только фиксить будет, долго. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 vasyast Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Уязвимость в 2.1.6 есть! Никаких ссылок на админку никому не давал, после того как сломали 2.1.5, всем были заменены принудительно пароли(поставить старый пароль нельзя)... так что проблема есть, есть логи запросов, думаю что инвижен проблему признает, вот только фиксить будет, долго.Вы написали уже в IPS или просто в пустоту говорите? Выкладывайте факты, а такие пространные фразы кроме как дискредитацией IPB назвать нельзя. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
eraser_bc
в форуме версии 2.1.6 были замечены уязвимости
один из пользователей както получил доступ к админке
может реально както ограничить доступ к админке по IP адресу ? или отдельным паролем ?
помогите плиз
Ссылка на комментарий
Поделиться на других сайтах
Лучшие авторы в этом вопросе
10
7
6
6
Дни популярности
17 мая
24
12 мая
14
19 мая
6
13 мая
6
Лучшие авторы в этом вопросе
vasyast 10 публикаций
Arhar 7 публикаций
eraser_bc 6 публикаций
Denis_home 6 публикаций
Дни популярности
17 мая 2006
24 публикации
12 мая 2006
14 публикаций
19 мая 2006
6 публикаций
13 мая 2006
6 публикаций
53 ответа на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.