Стандартный код защиты админцентра

[shuks]

Здравствуйте, хотелось бы получить инфу об одном хаке:

Manage Members - http://mods.invisionize.com/db/index.php/f/1203

Вот... Вобщем поставил я эту ерунду, хотел зайти в админке и вижу такое:

"Incorrect access!

You cannot access this file directly. If you have recently upgraded, make sure you upgraded 'admin.php'."

Ну блин думаю - пипец! Но я то всегда свой нос суну куда не надо! Взял да и удалил:

"if ( ! defined( 'IN_ACP' ) )
{
print "<h1>Incorrect access</h1>You cannot access this file directly. If you have recently upgraded, make sure you upgraded 'admin.php'.";
exit();
}"

И заработало! Причем абсалютно нормально!

Это потом я посмотрел, что этот мод "for 1.3 ONLY"

А теперь собственно вопрос:

Почему скрипт нормально работает на версии 1.2 без этой функции? Всмысле - за что она отвечает, не вредно её ли удаление?

Версия форума 1.2 ориг. с сайта Invision. Хаков других нет.

[theIggs]

shuks

Тебе о хаке инфа нужна или о стандартном коде админки??

[shuks]

theIggs А.. понял, я криво вопрос написал

Ну... вобщем о этом коде:

if ( ! defined( 'IN_ACP' ) )
{
print "<h1>Incorrect access</h1>You cannot access this file directly. If you have recently upgraded, make sure you upgraded 'admin.php'.";
exit();
}

А точнее: за что он отвечает и почему если его убрать, то этот мод будет работать.

[shuks]

Стандартный код защиты админцентра...

Ага... понятнинька... Первая часть вопроса отпала сама по себе... Назрел другой вопрос: эту хрень (код в файле) можно убрать или без неё "ни туды и ни сюды" и вся безопасность коту под хвост?..

[theIggs]

if ( ! defined( 'IN_ACP' ) )

{

print "<h1>Incorrect access</h1>You cannot access this file directly. If you have recently upgraded, make sure you upgraded 'admin.php'.";

exit();

}

В 1.3 в admin.php введена константа IN_ACP. Это защита от взлома. Взломщик мог напрямую выполнить файлы админки, введя адрес типа

www.site.com/forum/sources/Admin/ad_settings.php?параметры

соответственно, изменяя настройки форума. Поэтому в admin.php эта константа объявляется, а в файлах sources/Admin/ad_*.php - проверяется, чтобы эти файлы вызывались только стандартным образом; типа

www.site.com/forum/admin.php?act=op

 

почему если его убрать, то этот мод будет работать

У меня такое ощущение, что ты просто неправильно установил мод, вот и всё. Потому что файл сделан в соответствии с последними требованиями.

[shuks]

У меня такое ощущение, что ты просто неправильно установил мод, вот и всё.

Абижаешш... Я раза три переустанавливал все... Ну ладно, спасибо что объяснил! Сёдня буду еще копаться с этим модом, еще раз все пересмотрю...

[theIggs]

Сёдня буду еще копаться с этим модом, еще раз все пересмотрю...

Окей. Если что, пиши тут, я потом тоже гляну.

[shuks]

theIggs Нэт! Все равно не пашет!

А я поэкскрементировал и одну штуку нашел: если код проверки (тот что в admin.php) этого кода из версии 1.3 вставить в admin.php версии 1.2, то ашибки нет! И еще она пропадает когда код

if ( ! defined( 'IN_ACP' ) )
{
print "<h1>Incorrect access</h1>You cannot access this file directly. If you have recently upgraded, make sure you upgraded 'admin.php'.";
exit();
}

стереть.

Вобщем, я разобрался! Спасибо за инфу с кодом защиты ACP!

Еще вопрос: можно ли эту защиту в версию 1.2 всунуть и примерно какие редактировать файлы нада (ну то что файлы ad_*.php и admin.php редактировать нада я понял, мож еще где-то нада)?

[theIggs]

Вобщем, я разобрался!

Вот и славненько.

 

мож еще где-то нада

Вроде нет.

У тебя же есть 1.3? Посмотри в её файлах, есть ли ещё где-то IN_ACP...

[shuks]

Ок, спасибо!

[tzant]

я где-то видел код для файла secure.php. Попробовал, получилось! Просто помещаешь этот файл в htdocs и в админку не попасть .

[Наташенька610]

tzant как понять не попасть? а я как админ без проблем смогу войти?

 

Добавлено в [mergetime]1091784025[/mergetime]

а я не поняла как установить. я все скачала, а как установить то , чтоб работало, помогите плиз! очень надо