Существуют модификации типа Admin File Security 1.01, которая позволяет переименовать файл admin.php в другой и тем самым, если злоумышленник решит ввести в браузере
Адрес форума/admin.php
то его ждет разочарование - там такого файла не окажется либо будет инфа типа:
if ( ! defined( 'IN_ACP' ) )
{
print "<h1>403 - FORBIDDEN!!!</h1>У Вас нет разрешения на обращение к этому файлу! Ваше действие записано в логах и Вы лишитесь права доступа к форуму!";
exit();
}
?>
Однако, считаю, что даже несмотря на паролирование через htpassword htaccess мод secure login (после n неверных попыток ввода - блокировка аккаунта или бан IP атакующего) или паролирование файла admin.php через панель управления сайтом на хостинге,
возникает вопрос, а никто случайно не придумал тот же код, что работает, если идет несанкционированный доступ к панели модератора
Здесь работает скрипт sources/mod_cp.php и код в нем (строка 105):
//-------------------------------------
// Make sure we're a moderator...
//-------------------------------------
$pass = 0;
if ($ibforums->member['id'])
{
if ($ibforums->member['g_is_supmod'] == 1)
{
$pass = 1;
}
else if ($ibforums->member['is_mod'])
{
// Load mod..
// If we're not just viewing the forum list, then check the incoming forum ID and
// ensure that they have mod powers
if ($this->forum_id != "")
{
$qe = ' forum_id='.$this->forum_id.' AND ';
}
else
{
$qe = "";
}
$DB->query("SELECT * FROM ibf_moderators WHERE $qe (member_id='".$ibforums->member['id']."' OR (is_group=1 AND group_id='".$ibforums->member['mgroup']."'))");
if ( $this->moderator = $DB->fetch_row() )
{
$pass = 1;
}
}
else
{
$pass = 0;
}
}
if ($pass == 0)
{
$std->Error( array( LEVEL => 1, MSG => 'no_permission') );
}
Вопрос:
Можно ли подобный код прикрутить к файлу admin.php доступа к админке, чтобы выдавалось
Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.
Вопрос
dimitry
Существуют модификации типа Admin File Security 1.01, которая позволяет переименовать файл admin.php в другой и тем самым, если злоумышленник решит ввести в браузере
то его ждет разочарование - там такого файла не окажется либо будет инфа типа:
if ( ! defined( 'IN_ACP' ) ) { print "<h1>403 - FORBIDDEN!!!</h1>У Вас нет разрешения на обращение к этому файлу! Ваше действие записано в логах и Вы лишитесь права доступа к форуму!"; exit(); } ?>Однако, считаю, что даже несмотря на паролирование через htpassword htaccess мод secure login (после n неверных попыток ввода - блокировка аккаунта или бан IP атакующего) или паролирование файла admin.php через панель управления сайтом на хостинге,
возникает вопрос, а никто случайно не придумал тот же код, что работает, если идет несанкционированный доступ к панели модератора
Здесь работает скрипт sources/mod_cp.php и код в нем (строка 105):
//------------------------------------- // Make sure we're a moderator... //------------------------------------- $pass = 0; if ($ibforums->member['id']) { if ($ibforums->member['g_is_supmod'] == 1) { $pass = 1; } else if ($ibforums->member['is_mod']) { // Load mod.. // If we're not just viewing the forum list, then check the incoming forum ID and // ensure that they have mod powers if ($this->forum_id != "") { $qe = ' forum_id='.$this->forum_id.' AND '; } else { $qe = ""; } $DB->query("SELECT * FROM ibf_moderators WHERE $qe (member_id='".$ibforums->member['id']."' OR (is_group=1 AND group_id='".$ibforums->member['mgroup']."'))"); if ( $this->moderator = $DB->fetch_row() ) { $pass = 1; } } else { $pass = 0; } } if ($pass == 0) { $std->Error( array( LEVEL => 1, MSG => 'no_permission') ); }Вопрос:
Можно ли подобный код прикрутить к файлу admin.php доступа к админке, чтобы выдавалось
???
Ссылка на комментарий
Поделиться на других сайтах
1 ответ на этот вопрос
Рекомендуемые сообщения