Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
Mamunt

Дырка безопасности.

Рекомендованные сообщения

12/04/08 11:43 (изменено)

Приветствую.

 

Такая проблема:

Где-то на околохакерских форумах видел эту инфу, но сейчас нигде найти не могу, потому спрашиваю тут.

 

Создаю рассылку форума от рут админа, с использованием прямых ссылок на темы. Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным). Доступа в админку конечно не получает, т.к. заперто .htaccess'ом, но может выдавать баны и блокировать пользователей, удалять сообщения и имеет прочие админские возможности. Как исправить эту дырку?

 

IPB 2.3.5

Изменено пользователем Mamunt

Поделиться сообщением


Ссылка на сообщение

Я делаю иногда рассылку, там бывают ссылки на архив и на темы.

До сих пор не знала, что с них под рутом кто-то ходит :)

 

На самом деле ИМХО немного не так.

Если у Вас установлен счетчик liveinternet, попробуйте проделать следующее:

В детальной статистике (что с IP) попробуйте заходить по ссылкам посетителей к себе на форум.

Если посетитель – гость, то и получится, что Вы зашли под гостем.

 

Но стоит обновить страницу, опять оказываетесь залогиненным под своим ником.

Ни на какие чужие ники такие ссылки не выводят. Только гостевые права получите или свои.

 

А в рассылке рассылаются обычные ссылки вроде http://ipbskins.ru/forum/topic3201.html

Поделиться сообщением


Ссылка на сообщение
12/04/08 12:52 (изменено)

В том то и дело примерно 4 пользователя сообщили о такой ситуации. Один из них даже послал мне ЛС от меня родимого, чтобы я поверил.. =)

 

И ктому дже ссылки у меня на форуме вот такого вида

http://domen.ru/forum/index.php?showtopic=130&st=0&gopid=3486entry3486

Изменено пользователем Mamunt

Поделиться сообщением


Ссылка на сообщение

Такая ссылка не должна заводить под рутом.

В Вашей ссылке, хотя она и без ЧПУ, ничего опознавательного рут-админского нету.

 

Теоретически могу представить, что ссылки отсылаются с номерами сессий.

И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию...

 

Хотя не знаю, как быть с куками и прочими опознавательными штучками.

Точнее ответят наши программисты.

Поделиться сообщением


Ссылка на сообщение
И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию...

 

Хотя не знаю, как быть с куками и прочими опознавательными штучками.

Точнее ответят нашм программисты.

Да сессии длинные стоят, может покороче поставить...

Поделиться сообщением


Ссылка на сообщение
Да сессии длинные стоят, может покороче поставить...

Конечно поставьте.

Нагрузка на сервер будет меньше.

Ботов, которые посещаемость имитируют, тоже.

+ Безопасность...

 

И обрезайте куски с сессиями у url, которые отправляете в рассылках.

Поделиться сообщением


Ссылка на сообщение

ок. Спасибо. =)

Поделиться сообщением


Ссылка на сообщение
Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным).

В ссылке этого нечего нет. Не ника не пароля.

 

IPB 2.3.5

Бесплатный?

Поделиться сообщением


Ссылка на сообщение

В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.

Поделиться сообщением


Ссылка на сообщение
12/10/08 14:29 (изменено)
Бесплатный?

ну да, нуллед =)

 

В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.

Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить?

 

P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((

Изменено пользователем Mamunt

Поделиться сообщением


Ссылка на сообщение
ну да, нуллед =)

 

 

Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить?

 

P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((

Куки правильно настроены в админке?

Поделиться сообщением


Ссылка на сообщение
Куки правильно настроены в админке?

А как их правильно настроить?

Извените, что включаюсь в тему, но мне тоже интересно и Я тоже хочу правильно настроить :)

Поделиться сообщением


Ссылка на сообщение
12/13/08 03:47 (изменено)

Все правильно настроено, у меня два форума на одном домене, у форумов разные адреса и префиксы куки. Перечитал всю тему на которую вы дали ссылку, единственный выход который приходит на ум - это добиться у хостера стоит ли кэширование на каталог форума... Кстати и дырка в безопасности, о которой я писал, видимо тоже корнями туда уходит.

 

Цитата из той темы:

Вроде не первый день на форуме, а не знаете, что на хостинге от Агавы IPB никогда не заработает. Проблема у вас не с куками, а с кэшированием на стороне сервера. В целях экономии трафика они сохраняют страницы и подсовывают их всем пользователям без разбору, вот и заходят испокон веков простые пользователи под никами администраторов...

Решение: менять хост.

У меня правда не Агава, а Инфобокс, но проблемы схожие =))

Изменено пользователем Mamunt

Поделиться сообщением


Ссылка на сообщение
У меня правда не Агава, а Инфобокс, но проблемы схожие =))

Раньше в Инфобоксе не было таким проблем. У них технический директор, очень грамотный специалист.

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...