Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
Mamunt

Дырка безопасности.

Recommended Posts

Приветствую.

 

Такая проблема:

Где-то на околохакерских форумах видел эту инфу, но сейчас нигде найти не могу, потому спрашиваю тут.

 

Создаю рассылку форума от рут админа, с использованием прямых ссылок на темы. Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным). Доступа в админку конечно не получает, т.к. заперто .htaccess'ом, но может выдавать баны и блокировать пользователей, удалять сообщения и имеет прочие админские возможности. Как исправить эту дырку?

 

IPB 2.3.5

Edited by Mamunt

Share this post


Link to post
Share on other sites

Я делаю иногда рассылку, там бывают ссылки на архив и на темы.

До сих пор не знала, что с них под рутом кто-то ходит :)

 

На самом деле ИМХО немного не так.

Если у Вас установлен счетчик liveinternet, попробуйте проделать следующее:

В детальной статистике (что с IP) попробуйте заходить по ссылкам посетителей к себе на форум.

Если посетитель – гость, то и получится, что Вы зашли под гостем.

 

Но стоит обновить страницу, опять оказываетесь залогиненным под своим ником.

Ни на какие чужие ники такие ссылки не выводят. Только гостевые права получите или свои.

 

А в рассылке рассылаются обычные ссылки вроде http://ipbskins.ru/forum/topic3201.html

Share this post


Link to post
Share on other sites

В том то и дело примерно 4 пользователя сообщили о такой ситуации. Один из них даже послал мне ЛС от меня родимого, чтобы я поверил.. =)

 

И ктому дже ссылки у меня на форуме вот такого вида

http://domen.ru/forum/index.php?showtopic=130&st=0&gopid=3486entry3486

Edited by Mamunt

Share this post


Link to post
Share on other sites

Такая ссылка не должна заводить под рутом.

В Вашей ссылке, хотя она и без ЧПУ, ничего опознавательного рут-админского нету.

 

Теоретически могу представить, что ссылки отсылаются с номерами сессий.

И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию...

 

Хотя не знаю, как быть с куками и прочими опознавательными штучками.

Точнее ответят наши программисты.

Share this post


Link to post
Share on other sites
И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию...

 

Хотя не знаю, как быть с куками и прочими опознавательными штучками.

Точнее ответят нашм программисты.

Да сессии длинные стоят, может покороче поставить...

Share this post


Link to post
Share on other sites
Да сессии длинные стоят, может покороче поставить...

Конечно поставьте.

Нагрузка на сервер будет меньше.

Ботов, которые посещаемость имитируют, тоже.

+ Безопасность...

 

И обрезайте куски с сессиями у url, которые отправляете в рассылках.

Share this post


Link to post
Share on other sites

ок. Спасибо. =)

Share this post


Link to post
Share on other sites
Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным).

В ссылке этого нечего нет. Не ника не пароля.

 

IPB 2.3.5

Бесплатный?

Share this post


Link to post
Share on other sites

В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.

Share this post


Link to post
Share on other sites
Бесплатный?

ну да, нуллед =)

 

В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.

Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить?

 

P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((

Edited by Mamunt

Share this post


Link to post
Share on other sites
ну да, нуллед =)

 

 

Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить?

 

P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((

Куки правильно настроены в админке?

Share this post


Link to post
Share on other sites
Куки правильно настроены в админке?

А как их правильно настроить?

Извените, что включаюсь в тему, но мне тоже интересно и Я тоже хочу правильно настроить :)

Share this post


Link to post
Share on other sites

Все правильно настроено, у меня два форума на одном домене, у форумов разные адреса и префиксы куки. Перечитал всю тему на которую вы дали ссылку, единственный выход который приходит на ум - это добиться у хостера стоит ли кэширование на каталог форума... Кстати и дырка в безопасности, о которой я писал, видимо тоже корнями туда уходит.

 

Цитата из той темы:

Вроде не первый день на форуме, а не знаете, что на хостинге от Агавы IPB никогда не заработает. Проблема у вас не с куками, а с кэшированием на стороне сервера. В целях экономии трафика они сохраняют страницы и подсовывают их всем пользователям без разбору, вот и заходят испокон веков простые пользователи под никами администраторов...

Решение: менять хост.

У меня правда не Агава, а Инфобокс, но проблемы схожие =))

Edited by Mamunt

Share this post


Link to post
Share on other sites
У меня правда не Агава, а Инфобокс, но проблемы схожие =))

Раньше в Инфобоксе не было таким проблем. У них технический директор, очень грамотный специалист.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...