Существуют модификации типа Admin File Security 1.01, которая позволяет переименовать файл admin.php в другой и тем самым, если злоумышленник решит ввести в браузере
Адрес форума/admin.php
то его ждет разочарование - там такого файла не окажется либо будет инфа типа:
if ( ! defined( 'IN_ACP' ) )
{
print "<h1>403 - FORBIDDEN!!!</h1>У Вас нет разрешения на обращение к этому файлу! Ваше действие записано в логах и Вы лишитесь права доступа к форуму!";
exit();
}
?>
Однако, считаю, что даже несмотря на паролирование через htpassword htaccess мод secure login (после n неверных попыток ввода - блокировка аккаунта или бан IP атакующего) или паролирование файла admin.php через панель управления сайтом на хостинге,
возникает вопрос, а никто случайно не придумал тот же код, что работает, если идет несанкционированный доступ к панели модератора
Здесь работает скрипт sources/mod_cp.php и код в нем (строка 105):
//-------------------------------------
// Make sure we're a moderator...
//-------------------------------------
$pass = 0;
if ($ibforums->member['id'])
{
if ($ibforums->member['g_is_supmod'] == 1)
{
$pass = 1;
}
else if ($ibforums->member['is_mod'])
{
// Load mod..
// If we're not just viewing the forum list, then check the incoming forum ID and
// ensure that they have mod powers
if ($this->forum_id != "")
{
$qe = ' forum_id='.$this->forum_id.' AND ';
}
else
{
$qe = "";
}
$DB->query("SELECT * FROM ibf_moderators WHERE $qe (member_id='".$ibforums->member['id']."' OR (is_group=1 AND group_id='".$ibforums->member['mgroup']."'))");
if ( $this->moderator = $DB->fetch_row() )
{
$pass = 1;
}
}
else
{
$pass = 0;
}
}
if ($pass == 0)
{
$std->Error( array( LEVEL => 1, MSG => 'no_permission') );
}
Вопрос:
Можно ли подобный код прикрутить к файлу admin.php доступа к админке, чтобы выдавалось
Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.
Вопрос
dimitry
Существуют модификации типа Admin File Security 1.01, которая позволяет переименовать файл admin.php в другой и тем самым, если злоумышленник решит ввести в браузере
то его ждет разочарование - там такого файла не окажется либо будет инфа типа:
Однако, считаю, что даже несмотря на паролирование через htpassword htaccess мод secure login (после n неверных попыток ввода - блокировка аккаунта или бан IP атакующего) или паролирование файла admin.php через панель управления сайтом на хостинге,
возникает вопрос, а никто случайно не придумал тот же код, что работает, если идет несанкционированный доступ к панели модератора
Здесь работает скрипт sources/mod_cp.php и код в нем (строка 105):
Вопрос:
Можно ли подобный код прикрутить к файлу admin.php доступа к админке, чтобы выдавалось
???
Ссылка на комментарий
Поделиться на других сайтах
1 ответ на этот вопрос
Рекомендуемые сообщения