Перейти к контенту

Как защитить форум от взлома?

***NEON***

Автор: ***NEON***,
в FAQ

 Поделиться

Рекомендуемые сообщения

GiV

GiV

Опубликовано
Опубликовано
А не проще защитить админку файлом .htpasswd и закинуть его не всаму директорию с форумом, а выше в каталог?

там не все так просто как кажется. И все дело в относительных путях. Если уж и закрывать htaccess'ом, то делать через

 

<Files admin.php>

Order deny,allow

Deny from All

Allow from xxx.xxx.xxx.xxx

</Files>

Ссылка на комментарий
Поделиться на других сайтах
  • Ответы 191
  • Создана
  • Последний ответ

Лучшие авторы в этой теме

Дни популярности

Лучшие авторы в этой теме

Дни популярности

Рыж

Рыж

Опубликовано
Опубликовано
за 50$ подниму безопасность до уровня этого форума (антибрут в форме логина, защита паролей пользователей при передаче клиент->сервер, защита админки (или привязка на вход только с опеределенного IP, или динамически меняющийся логин/пароль)), защита хэшей паролей от брута + защита от кейлогера в админке. Защита полностью индивидуальна для каждого форума.

Значит на РМ не отвечаешь? А как с тобой связаться, если на емайл ты тоже не отвечаешь? :D;)

Ссылка на комментарий
Поделиться на других сайтах
replicant

replicant

Опубликовано
Опубликовано
Точно не говорю, но может методом GET SQL Injection есть для смены подписей пользователей![1123701372:1123702214]Ведь вся инфа хранится в таблицах пользователей ibf_members!

P.S для защиты от инъекций не нужно ставить стнадартные префиксы таблиц!

а теперь уже наверно позно менять префиксы таблиц? об этом наверно стоило заботься заранее.

SELECT j.post_id, p.journal_id, m.name 
FROM ibf_jtracker j
LEFT JOIN ibf_jposts p ON ( j.post_id = p.pid ) 
LEFT JOIN ibf_members m ON (m.id = p.journal_id)
GROUP BY j.post_id
HAVING j.post_id>0 AND m.name IS NULL
ORDER BY m.name ASC

 

А теперь вопрос к знатокам! Забавно! Баг или фича ? Скопировав себе этот кусок кода что в тегах SQL и поставив на форум, выяснил, что префикс таблиц был автоматически заменен на префикс того форума, на котором этот пост был написан. Это произошло на одном из форумов в инете с версией 2.0.4, потом было проверно на другом версии не выше 2.0.4, и снова такая же история.

 

Это баг или фича тега SQL или тега CODE (с ним тоже прокатывает) ? Потому что при наборе поста я указывал префиксы таблиц test_members и test_jposts.

 

И есть ли решение от этого случая, может быть кто-то уже сталкивался с этим ?

Ссылка на комментарий
Поделиться на других сайтах
Vic'er

Vic'er

Опубликовано
Опубликовано
Баг, причем баг очень жесткий, так как, как не меняй префикс, посетитель его всегда может легко узнать, введя в сообщении название таблицы со стандартныи префиксом - система его заменит на тот, который используется на конкретном форуме :D
Ссылка на комментарий
Поделиться на других сайтах
d1pro

d1pro

Опубликовано
Опубликовано
Там на уровне абстракции доступа к базе замена префикса происходит и надо сказать она там в общем-то нужна. Хотя можно ее и оттуда выкинуть, но часть модов и возможно кусков форума придется чутка поправить.
Ссылка на комментарий
Поделиться на других сайтах
Vic'er

Vic'er

Опубликовано
Опубликовано
Там на уровне абстракции доступа к базе замена префикса происходит и надо сказать она там в общем-то нужна. Хотя можно ее и оттуда выкинуть, но часть модов и возможно кусков форума придется чутка поправить.

заменять тоже можна по разному)))

Ссылка на комментарий
Поделиться на других сайтах
d1pro

d1pro

Опубликовано
Опубликовано (изменено)

Я где-то по коду самого Мэтта видел конструкции вроде

$DB->simple_construct( array( 'select' => '*',
'from' => 'posts p LEFT JOIN ibf_topics p ON...

В общем-то SQL_PREFIX вставить не сложно... Да и вообще, строить безопасность на секретности алгоритма сейчас уже не очень спортивно :D. Хотя и действенно в единичных случаях ;).

Изменено пользователем d1pro
Ссылка на комментарий
Поделиться на других сайтах
SAT

SAT

Опубликовано
Опубликовано

не зняю проверил на CODE и SQL не хочет работать данный баг... отому как оно, при подходе к парсеру заменяется или уже после него не могу проверить.

 

хотя може корректным вариантом было бы это переписать теги SQL и CODE(Например имя таблиц полностью заменять на коды символов из которых состоит имя, сразу после "#(JOIN|FROM|UPDATE", естественно учитывая пробел)... но если замена происходит еще до парсера увы и ах поймать таким способом не удатся, тогда уже прямо в parse_incoming() можно ловить.

Ссылка на комментарий
Поделиться на других сайтах
  • 3 недели спустя...
MAXX_13

MAXX_13

Опубликовано
Опубликовано
мод с защитой от перебора (брутфорса), взят с http://forums.invisionize.com/index.php

 

А этот мод предохраняет от перебора вход для пользователей? Или только админку? :D

Ссылка на комментарий
Поделиться на других сайтах
  • 2 недели спустя...
MAXX_13

MAXX_13

Опубликовано
Опубликовано
Ребят, ну вы вообще читаете форум? По 20 человек сидит на форуме и никто два слова не может написать, а ну расшевелитесь немножко! Так защищает этот мод вход пользователей от подбора паролей или только админку? :D
Ссылка на комментарий
Поделиться на других сайтах
Sity

Sity

Опубликовано
Опубликовано

Добрый вечер!

 

Подскажите пожалуйста есть ли разница в уязвимости форума версии 1.3 и например 2.1.3?

Имеет ли смысл ставить 1.3 или это уже неактуально?

 

Спасибо!

Ссылка на комментарий
Поделиться на других сайтах
  • 1 месяц спустя...
western

western

Опубликовано
Опубликовано
А не проще защитить админку файлом .htpasswd и закинуть его не всаму директорию с форумом, а выше в каталог?

там не все так просто как кажется. И все дело в относительных путях. Если уж и закрывать htaccess'ом, то делать через

 

<Files admin.php>

Order deny,allow

Deny from All

Allow from xxx.xxx.xxx.xxx

</Files>

Или так

 

Создаем файл .htaccess :

 

<Files ~ "admin.php">

AuthName "Administration Zone"

AuthType Basic

AuthUserFile /pub/home/htdocs/files/.htpasswd

require valid-user

</Files>

 

и кидаем его в корень сайта.

 

В строке с AuthUserFile указан путь (полный путь от корня сервера!) до файла .htpasswd. Его можно размещать в любом месте Вашего сервера, желательно если он будет размещен вне директории для публичных файлов.

 

Теперь нужно создать файл .htpasswd, в котором будут хранится логин и пароль для входа в админ-панель.

Ссылка на комментарий
Поделиться на других сайтах
  • 1 месяц спустя...
Dekker

Dekker

Опубликовано
Опубликовано

после переноса admin.php появляються в логах настойчивые 404 файл не найден, подсунул следующий вариант

 

 

http://crimea-board.net/admin.php

admin.php

Ссылка на комментарий
Поделиться на других сайтах
Kinolog

Kinolog

Опубликовано
Опубликовано
после переноса admin.php появляються в логах настойчивые 404 файл не найден, подсунул следующий вариант

 

 

http://crimea-board.net/admin.php

Как в Крыму-то сейчас? Весна полным ходом? :D

Ссылка на комментарий
Поделиться на других сайтах
resets

resets

Опубликовано
Опубликовано
А практически, когда я поменял пароль на 30 значный, мне при заходе вылетело то что пароль слишком длинный, пришлось востанавливать на 12 значный.
Ссылка на комментарий
Поделиться на других сайтах
.to4ka

.to4ka

Опубликовано
Опубликовано

ребят скажите прикол сего мода http://mods.invisionize.com/db/index.php/f/5374

не до конца понял....))) то есть я его установил но не до конца понял как и что,правильно я его использую)))) спасиб

Ссылка на комментарий
Поделиться на других сайтах
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен