GiV Опубликовано 22 Ноября 2005 Жалоба Поделиться Опубликовано 22 Ноября 2005 А не проще защитить админку файлом .htpasswd и закинуть его не всаму директорию с форумом, а выше в каталог?там не все так просто как кажется. И все дело в относительных путях. Если уж и закрывать htaccess'ом, то делать через <Files admin.php>Order deny,allowDeny from AllAllow from xxx.xxx.xxx.xxx</Files> Ссылка на комментарий Поделиться на других сайтах Прочее
Рыж Опубликовано 29 Ноября 2005 Жалоба Поделиться Опубликовано 29 Ноября 2005 за 50$ подниму безопасность до уровня этого форума (антибрут в форме логина, защита паролей пользователей при передаче клиент->сервер, защита админки (или привязка на вход только с опеределенного IP, или динамически меняющийся логин/пароль)), защита хэшей паролей от брута + защита от кейлогера в админке. Защита полностью индивидуальна для каждого форума.Значит на РМ не отвечаешь? А как с тобой связаться, если на емайл ты тоже не отвечаешь? Ссылка на комментарий Поделиться на других сайтах Прочее
Rulez-News Опубликовано 30 Ноября 2005 Жалоба Поделиться Опубликовано 30 Ноября 2005 (изменено) Ребят, это я туплю или чего? Да, туплю, сорри. Изменено 1 Декабря 2005 пользователем Rulez-News Ссылка на комментарий Поделиться на других сайтах Прочее
replicant Опубликовано 2 Декабря 2005 Жалоба Поделиться Опубликовано 2 Декабря 2005 Точно не говорю, но может методом GET SQL Injection есть для смены подписей пользователей![1123701372:1123702214]Ведь вся инфа хранится в таблицах пользователей ibf_members!P.S для защиты от инъекций не нужно ставить стнадартные префиксы таблиц!а теперь уже наверно позно менять префиксы таблиц? об этом наверно стоило заботься заранее.SELECT j.post_id, p.journal_id, m.name FROM ibf_jtracker j LEFT JOIN ibf_jposts p ON ( j.post_id = p.pid ) LEFT JOIN ibf_members m ON (m.id = p.journal_id) GROUP BY j.post_id HAVING j.post_id>0 AND m.name IS NULL ORDER BY m.name ASC А теперь вопрос к знатокам! Забавно! Баг или фича ? Скопировав себе этот кусок кода что в тегах SQL и поставив на форум, выяснил, что префикс таблиц был автоматически заменен на префикс того форума, на котором этот пост был написан. Это произошло на одном из форумов в инете с версией 2.0.4, потом было проверно на другом версии не выше 2.0.4, и снова такая же история. Это баг или фича тега SQL или тега CODE (с ним тоже прокатывает) ? Потому что при наборе поста я указывал префиксы таблиц test_members и test_jposts. И есть ли решение от этого случая, может быть кто-то уже сталкивался с этим ? Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 2 Декабря 2005 Жалоба Поделиться Опубликовано 2 Декабря 2005 Баг, причем баг очень жесткий, так как, как не меняй префикс, посетитель его всегда может легко узнать, введя в сообщении название таблицы со стандартныи префиксом - система его заменит на тот, который используется на конкретном форуме Ссылка на комментарий Поделиться на других сайтах Прочее
d1pro Опубликовано 2 Декабря 2005 Жалоба Поделиться Опубликовано 2 Декабря 2005 Там на уровне абстракции доступа к базе замена префикса происходит и надо сказать она там в общем-то нужна. Хотя можно ее и оттуда выкинуть, но часть модов и возможно кусков форума придется чутка поправить. Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 2 Декабря 2005 Жалоба Поделиться Опубликовано 2 Декабря 2005 Там на уровне абстракции доступа к базе замена префикса происходит и надо сказать она там в общем-то нужна. Хотя можно ее и оттуда выкинуть, но часть модов и возможно кусков форума придется чутка поправить.заменять тоже можна по разному))) Ссылка на комментарий Поделиться на других сайтах Прочее
d1pro Опубликовано 2 Декабря 2005 Жалоба Поделиться Опубликовано 2 Декабря 2005 (изменено) Я где-то по коду самого Мэтта видел конструкции вроде$DB->simple_construct( array( 'select' => '*', 'from' => 'posts p LEFT JOIN ibf_topics p ON...В общем-то SQL_PREFIX вставить не сложно... Да и вообще, строить безопасность на секретности алгоритма сейчас уже не очень спортивно . Хотя и действенно в единичных случаях . Изменено 2 Декабря 2005 пользователем d1pro Ссылка на комментарий Поделиться на других сайтах Прочее
SAT Опубликовано 3 Декабря 2005 Жалоба Поделиться Опубликовано 3 Декабря 2005 не зняю проверил на CODE и SQL не хочет работать данный баг... отому как оно, при подходе к парсеру заменяется или уже после него не могу проверить. хотя може корректным вариантом было бы это переписать теги SQL и CODE(Например имя таблиц полностью заменять на коды символов из которых состоит имя, сразу после "#(JOIN|FROM|UPDATE", естественно учитывая пробел)... но если замена происходит еще до парсера увы и ах поймать таким способом не удатся, тогда уже прямо в parse_incoming() можно ловить. Ссылка на комментарий Поделиться на других сайтах Прочее
MAXX_13 Опубликовано 21 Декабря 2005 Жалоба Поделиться Опубликовано 21 Декабря 2005 мод с защитой от перебора (брутфорса), взят с http://forums.invisionize.com/index.php А этот мод предохраняет от перебора вход для пользователей? Или только админку? Ссылка на комментарий Поделиться на других сайтах Прочее
MAXX_13 Опубликовано 2 Января 2006 Жалоба Поделиться Опубликовано 2 Января 2006 Ребят, ну вы вообще читаете форум? По 20 человек сидит на форуме и никто два слова не может написать, а ну расшевелитесь немножко! Так защищает этот мод вход пользователей от подбора паролей или только админку? Ссылка на комментарий Поделиться на других сайтах Прочее
Sity Опубликовано 8 Января 2006 Жалоба Поделиться Опубликовано 8 Января 2006 Добрый вечер! Подскажите пожалуйста есть ли разница в уязвимости форума версии 1.3 и например 2.1.3?Имеет ли смысл ставить 1.3 или это уже неактуально? Спасибо! Ссылка на комментарий Поделиться на других сайтах Прочее
western Опубликовано 13 Февраля 2006 Жалоба Поделиться Опубликовано 13 Февраля 2006 А не проще защитить админку файлом .htpasswd и закинуть его не всаму директорию с форумом, а выше в каталог?там не все так просто как кажется. И все дело в относительных путях. Если уж и закрывать htaccess'ом, то делать через <Files admin.php>Order deny,allowDeny from AllAllow from xxx.xxx.xxx.xxx</Files>Или так Создаем файл .htaccess : <Files ~ "admin.php"> AuthName "Administration Zone"AuthType BasicAuthUserFile /pub/home/htdocs/files/.htpasswdrequire valid-user</Files> и кидаем его в корень сайта. В строке с AuthUserFile указан путь (полный путь от корня сервера!) до файла .htpasswd. Его можно размещать в любом месте Вашего сервера, желательно если он будет размещен вне директории для публичных файлов. Теперь нужно создать файл .htpasswd, в котором будут хранится логин и пароль для входа в админ-панель. Ссылка на комментарий Поделиться на других сайтах Прочее
Dekker Опубликовано 18 Марта 2006 Жалоба Поделиться Опубликовано 18 Марта 2006 после переноса admin.php появляються в логах настойчивые 404 файл не найден, подсунул следующий вариант http://crimea-board.net/admin.phpadmin.php Ссылка на комментарий Поделиться на других сайтах Прочее
freeman85 Опубликовано 20 Марта 2006 Жалоба Поделиться Опубликовано 20 Марта 2006 Dekker наверняка на странице eshcho.html даже настоящий логин/пароль не пройдет ))) Ссылка на комментарий Поделиться на других сайтах Прочее
Kinolog Опубликовано 20 Марта 2006 Жалоба Поделиться Опубликовано 20 Марта 2006 после переноса admin.php появляються в логах настойчивые 404 файл не найден, подсунул следующий вариант http://crimea-board.net/admin.phpКак в Крыму-то сейчас? Весна полным ходом? Ссылка на комментарий Поделиться на других сайтах Прочее
resets Опубликовано 25 Марта 2006 Жалоба Поделиться Опубликовано 25 Марта 2006 Какова максимальная длина пароля? И возможно ли её расширить? Ссылка на комментарий Поделиться на других сайтах Прочее
Чёртос-2 Опубликовано 25 Марта 2006 Жалоба Поделиться Опубликовано 25 Марта 2006 Она теоретически бесконечна. Ссылка на комментарий Поделиться на других сайтах Прочее
resets Опубликовано 25 Марта 2006 Жалоба Поделиться Опубликовано 25 Марта 2006 А практически, когда я поменял пароль на 30 значный, мне при заходе вылетело то что пароль слишком длинный, пришлось востанавливать на 12 значный. Ссылка на комментарий Поделиться на других сайтах Прочее
MotoDen Опубликовано 2 Апреля 2006 Жалоба Поделиться Опубликовано 2 Апреля 2006 GiV,А как сделать доп. пароль для 2.1.3? А то код, написанный вначале темы не пускает в админку... Ссылка на комментарий Поделиться на других сайтах Прочее
privet Опубликовано 2 Апреля 2006 Жалоба Поделиться Опубликовано 2 Апреля 2006 Народ а в 2.1.5 дыры есть? Ссылка на комментарий Поделиться на других сайтах Прочее
.silent Опубликовано 2 Апреля 2006 Жалоба Поделиться Опубликовано 2 Апреля 2006 дыры есть всюду, даже в стенах. Ссылка на комментарий Поделиться на других сайтах Прочее
privet Опубликовано 2 Апреля 2006 Жалоба Поделиться Опубликовано 2 Апреля 2006 дыры есть всюду, даже в стенах. А по конкретней, где уязвимости в 2.1.5 ? Ссылка на комментарий Поделиться на других сайтах Прочее
Ramzess Опубликовано 3 Апреля 2006 Жалоба Поделиться Опубликовано 3 Апреля 2006 2.1.5 - тестил... вроде существенных дыр не нашел Ссылка на комментарий Поделиться на других сайтах Прочее
.to4ka Опубликовано 4 Апреля 2006 Жалоба Поделиться Опубликовано 4 Апреля 2006 ребят скажите прикол сего мода http://mods.invisionize.com/db/index.php/f/5374не до конца понял....))) то есть я его установил но не до конца понял как и что,правильно я его использую)))) спасиб Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения