Перейти к содержимому
Русский язык для Invision Community 5

Дырка безопасности.

Приветствую.

 

Такая проблема:

Где-то на околохакерских форумах видел эту инфу, но сейчас нигде найти не могу, потому спрашиваю тут.

 

Создаю рассылку форума от рут админа, с использованием прямых ссылок на темы. Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным). Доступа в админку конечно не получает, т.к. заперто .htaccess'ом, но может выдавать баны и блокировать пользователей, удалять сообщения и имеет прочие админские возможности. Как исправить эту дырку?

 

IPB 2.3.5

Изменено пользователем Mamunt

Рекомендованные сообщения

Я делаю иногда рассылку, там бывают ссылки на архив и на темы.

До сих пор не знала, что с них под рутом кто-то ходит :)

 

На самом деле ИМХО немного не так.

Если у Вас установлен счетчик liveinternet, попробуйте проделать следующее:

В детальной статистике (что с IP) попробуйте заходить по ссылкам посетителей к себе на форум.

Если посетитель – гость, то и получится, что Вы зашли под гостем.

 

Но стоит обновить страницу, опять оказываетесь залогиненным под своим ником.

Ни на какие чужие ники такие ссылки не выводят. Только гостевые права получите или свои.

 

А в рассылке рассылаются обычные ссылки вроде http://ipbskins.ru/forum/topic3201.html

  • Автор

В том то и дело примерно 4 пользователя сообщили о такой ситуации. Один из них даже послал мне ЛС от меня родимого, чтобы я поверил.. =)

 

И ктому дже ссылки у меня на форуме вот такого вида

http://domen.ru/forum/index.php?showtopic=130&st=0&gopid=3486entry3486

Изменено пользователем Mamunt

Такая ссылка не должна заводить под рутом.

В Вашей ссылке, хотя она и без ЧПУ, ничего опознавательного рут-админского нету.

 

Теоретически могу представить, что ссылки отсылаются с номерами сессий.

И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию...

 

Хотя не знаю, как быть с куками и прочими опознавательными штучками.

Точнее ответят наши программисты.

  • Автор
И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию...

 

Хотя не знаю, как быть с куками и прочими опознавательными штучками.

Точнее ответят нашм программисты.

Да сессии длинные стоят, может покороче поставить...

Да сессии длинные стоят, может покороче поставить...

Конечно поставьте.

Нагрузка на сервер будет меньше.

Ботов, которые посещаемость имитируют, тоже.

+ Безопасность...

 

И обрезайте куски с сессиями у url, которые отправляете в рассылках.

  • Автор

ок. Спасибо. =)

Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным).

В ссылке этого нечего нет. Не ника не пароля.

 

IPB 2.3.5

Бесплатный?

В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.

  • Автор
Бесплатный?

ну да, нуллед =)

 

В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.

Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить?

 

P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((

Изменено пользователем Mamunt

ну да, нуллед =)

 

 

Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить?

 

P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((

Куки правильно настроены в админке?

Куки правильно настроены в админке?

А как их правильно настроить?

Извените, что включаюсь в тему, но мне тоже интересно и Я тоже хочу правильно настроить :)

  • Автор

Все правильно настроено, у меня два форума на одном домене, у форумов разные адреса и префиксы куки. Перечитал всю тему на которую вы дали ссылку, единственный выход который приходит на ум - это добиться у хостера стоит ли кэширование на каталог форума... Кстати и дырка в безопасности, о которой я писал, видимо тоже корнями туда уходит.

 

Цитата из той темы:

Вроде не первый день на форуме, а не знаете, что на хостинге от Агавы IPB никогда не заработает. Проблема у вас не с куками, а с кэшированием на стороне сервера. В целях экономии трафика они сохраняют страницы и подсовывают их всем пользователям без разбору, вот и заходят испокон веков простые пользователи под никами администраторов...

Решение: менять хост.

У меня правда не Агава, а Инфобокс, но проблемы схожие =))

Изменено пользователем Mamunt

У меня правда не Агава, а Инфобокс, но проблемы схожие =))

Раньше в Инфобоксе не было таким проблем. У них технический директор, очень грамотный специалист.

  • Автор

И сейчас нету, не кэшуруют они каталоги.. значит косяк в чем-то другом.

Создайте аккаунт или войдите в него для комментирования

Аккаунт

Навигация

Поиск

Поиск

Настроить push-уведомления браузера

Chrome (Android)
  1. Нажмите на иконку замка рядом с адресной строкой.
  2. Нажмите Права доступа -> Уведомления.
  3. Измените свои настройки.
Chrome (компьютер)
  1. Нажмите на иконку замка в адресной строке.
  2. Выберите Настройки сайта.
  3. Найдите Уведомления и измените свои настройки.