Перейти к публикации
View in the app

A better way to browse. Learn more.
Дизайн и модификация Invision Community

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Дырка безопасности.

Опубликовано:

Приветствую.

 

Такая проблема:

Где-то на околохакерских форумах видел эту инфу, но сейчас нигде найти не могу, потому спрашиваю тут.

 

Создаю рассылку форума от рут админа, с использованием прямых ссылок на темы. Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным). Доступа в админку конечно не получает, т.к. заперто .htaccess'ом, но может выдавать баны и блокировать пользователей, удалять сообщения и имеет прочие админские возможности. Как исправить эту дырку?

 

IPB 2.3.5

Изменено пользователем Mamunt

Рекомендованные сообщения

Опубликовано:

Я делаю иногда рассылку, там бывают ссылки на архив и на темы.

До сих пор не знала, что с них под рутом кто-то ходит :)

 

На самом деле ИМХО немного не так.

Если у Вас установлен счетчик liveinternet, попробуйте проделать следующее:

В детальной статистике (что с IP) попробуйте заходить по ссылкам посетителей к себе на форум.

Если посетитель – гость, то и получится, что Вы зашли под гостем.

 

Но стоит обновить страницу, опять оказываетесь залогиненным под своим ником.

Ни на какие чужие ники такие ссылки не выводят. Только гостевые права получите или свои.

 

А в рассылке рассылаются обычные ссылки вроде http://ipbskins.ru/forum/topic3201.html

Опубликовано:
  • Автор

В том то и дело примерно 4 пользователя сообщили о такой ситуации. Один из них даже послал мне ЛС от меня родимого, чтобы я поверил.. =)

 

И ктому дже ссылки у меня на форуме вот такого вида

http://domen.ru/forum/index.php?showtopic=130&st=0&gopid=3486entry3486

Изменено пользователем Mamunt

Опубликовано:

Такая ссылка не должна заводить под рутом.

В Вашей ссылке, хотя она и без ЧПУ, ничего опознавательного рут-админского нету.

 

Теоретически могу представить, что ссылки отсылаются с номерами сессий.

И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию...

 

Хотя не знаю, как быть с куками и прочими опознавательными штучками.

Точнее ответят наши программисты.

Опубликовано:
  • Автор
И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию...

 

Хотя не знаю, как быть с куками и прочими опознавательными штучками.

Точнее ответят нашм программисты.

Да сессии длинные стоят, может покороче поставить...

Опубликовано:
Да сессии длинные стоят, может покороче поставить...

Конечно поставьте.

Нагрузка на сервер будет меньше.

Ботов, которые посещаемость имитируют, тоже.

+ Безопасность...

 

И обрезайте куски с сессиями у url, которые отправляете в рассылках.

Опубликовано:
  • Автор

ок. Спасибо. =)

Опубликовано:
Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным).

В ссылке этого нечего нет. Не ника не пароля.

 

IPB 2.3.5

Бесплатный?

Опубликовано:

В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.

Опубликовано:
  • Автор
Бесплатный?

ну да, нуллед =)

 

В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.

Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить?

 

P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((

Изменено пользователем Mamunt

Опубликовано:
ну да, нуллед =)

 

 

Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить?

 

P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((

Куки правильно настроены в админке?

Опубликовано:
Куки правильно настроены в админке?

А как их правильно настроить?

Извените, что включаюсь в тему, но мне тоже интересно и Я тоже хочу правильно настроить :)

Опубликовано:
  • Автор

Все правильно настроено, у меня два форума на одном домене, у форумов разные адреса и префиксы куки. Перечитал всю тему на которую вы дали ссылку, единственный выход который приходит на ум - это добиться у хостера стоит ли кэширование на каталог форума... Кстати и дырка в безопасности, о которой я писал, видимо тоже корнями туда уходит.

 

Цитата из той темы:

Вроде не первый день на форуме, а не знаете, что на хостинге от Агавы IPB никогда не заработает. Проблема у вас не с куками, а с кэшированием на стороне сервера. В целях экономии трафика они сохраняют страницы и подсовывают их всем пользователям без разбору, вот и заходят испокон веков простые пользователи под никами администраторов...

Решение: менять хост.

У меня правда не Агава, а Инфобокс, но проблемы схожие =))

Изменено пользователем Mamunt

Опубликовано:
У меня правда не Агава, а Инфобокс, но проблемы схожие =))

Раньше в Инфобоксе не было таким проблем. У них технический директор, очень грамотный специалист.

Опубликовано:
  • Автор

И сейчас нету, не кэшуруют они каталоги.. значит косяк в чем-то другом.

Создайте аккаунт или войдите в него для комментирования

Перейти к списку тем

Сейчас на странице 0

  • Нет пользователей, просматривающих эту страницу.

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.