 |
Форум вебмастеров на AlfaSpace.NET / The Matrix Has You / Защита форума |
| Автор | Сообщение |
| things Участник  203 |
# Дата: 15 Ноя 2005 10:54 Несколько советов на тему защиты своего форума: 1.) подправьте файлы шаблона, где указано "powered by ** v.**". В принципе эту строку вообще можно убрать, но это не совсем этично. Также можно защититься от хакеров, которые через поисковик ищут журтву, указав строку "powered", с помощью js: <script language="javascript" type="text/javascript"> <!-- document.write('Pow' + 'er' + 'ed by Mi' + 'ni' + 'BB'); --> </script> 2.) Регулярно заходите на сайт авторов форума, чтобы всегда ставить последнии багфиксы и патчи. 3.) Ставьте нестандартный стиль. Помимо того что украсит дизайн, еще и защитит от эксплойтов, которые выдирают инфу из html. 4.) Хороший способ защиты от SQL-injection-Union атаки это модификация бд. Добавляйте в таблицу пустые поля, измените поле user_password на kukumenyanikogda_nelomat 5.) ессно длинный и сложный пасс 6.) фейк-админка. Достаточно популярный способ. Оригинальный админ-файл переименую во что-нить типа moya-lubimaya-sobaka.php, а в admin.php пропиши всякую ерунду, не влияющую на работу сайта в целом, но(!) обязательно через эту страницу собирай ip для бан-листа 
7.) И наконец, еще один метод, пусть и несколько трудоемкий - Изменение алгоритма хеширования. Просто измени все вызовы функций, связанные с хешированием на свои, которые после вызова стандартных слегка модифицируют хеш. Вроде все... По опыту могу сказать что модифицирование бд - почти 98% безопасность от хака. |
| Dex |
# Дата: 15 Ноя 2005 11:43 как насчет спамеров? |
| Анна Участник  2891 |
# Дата: 15 Ноя 2005 12:29 Dex Для начала - отправка пароля на мыло при регистрации. |
| things Участник 203 |
# Дата: 15 Ноя 2005 13:26 Dex Ну это не проблема, от этого много защит в базовой комплектации почти всех популярных форумов. Как уже выше сказала анна, к примеру отправка пасса на мыло, проверочная картинка, активизация аккаунта через опр. время и т.п. |
| Dex Участник  1310 |
# Дата: 15 Ноя 2005 13:32 это стоИт осталось только сделать, активацию через админа но это крайняк  |
| Dex Участник 1310 |
# Дата: 15 Ноя 2005 13:34 у меня вот еще странная вещь сообщений почти никто не оставляет но региться особенно в последние дни народ стал так, как будто готовится спамерская атака 
че происходит, не понимаю |
| things Участник 203 |
# Дата: 15 Ноя 2005 17:57 Dex Иногда люди регятся чтобы получить "огромное кол-во доп. функций на сайте, возможность чтобы в формах был указан их ник и т.п."  ) А на крайняк - рекомендую через пхпмайадмин пошебуршить с бд. |
| things Участник 203 |
# Дата: 15 Ноя 2005 18:00 Dex Еще как вариант - если юзер после регистрации неделю не делает постов на форуме, ты его удаляешь... |
| things Участник 203 |
# Дата: 15 Ноя 2005 18:05 По поводу усложнения хеширования. Рекомендую всем проверить свои хеши с помощью: http://www.stachliu.com/collisions.html если у вас быстрая двуядерная тачка и тем не менее за 2 часа хеш не перебрала, тогда гордитесь - вы более-менее в этом плане защищены |
| SapienS Участник  760 |
# Дата: 16 Ноя 2005 01:00 things, 1.) подправьте файлы шаблона, где указано "powered by ** v.**". В принципе эту строку вообще можно убрать, но это не совсем этично. Также можно защититься от хакеров, которые через поисковик ищут журтву, указав строку "powered", с помощью js: <script language="javascript" type="text/javascript"> <!-- document.write('Pow' + 'er' + 'ed by Mi' + 'ni' + 'BB'); --> </script> Узнать версию форума несложно по структуре сайта и особенностям, присущим только данной версии. 2.) Регулярно заходите на сайт авторов форума, чтобы всегда ставить последнии багфиксы и патчи. Существуют такие уязвимости, вроде XSS/CSS, от которых ни один патч не спасет, поэтому это не панацея 3.) Ставьте нестандартный стиль. Помимо того что украсит дизайн, еще и защитит от эксплойтов, которые выдирают инфу из html. Где ты видел эксплойты, выдирающие инфу из html?
Поделись. 5.) ессно длинный и сложный пасс 
Это вообще больная тема
Для того, чтобы залогиниться под админом или модером достаточно украсть его кукис, а пароль расшифровывать необязательно. Какие вы наивные  |
| things Участник 203 |
# Дата: 16 Ноя 2005 01:25 SapienS Узнать версию форума несложно по структуре сайта и особенностям, присущим только данной версии. Большинство хаксооров(которые не нацелены ломать конкретный форум) ищут именно по этой строке внизу, а если еще и хорошенько над дизайном поработать, то версию форума не узнать будет(если конечно не опытный хак) Существуют такие уязвимости, вроде XSS/CSS, от которых ни один патч не спасет, поэтому это не панацея Как раз для таких уязвимостей прежде всего и стоит заходить, чтобы знать какой скрипт бажный, а в последствии либо его удалить, либо подредактировать. Где ты видел эксплойты, выдирающие инфу из html? Могу дать, сам такие писал )
Для того, чтобы залогиниться под админом или модером достаточно украсть его кукис, а пароль расшифровывать необязательно. Извени конечно, но я себе не ставлю скрипты, которые в куках хранят открытый пасс - это просто самоубийцство. У меня в куках хранится хеш. Чем сложнее пароль, тем сложнее хеш перебрать. |
| SapienS Участник 760 |
# Дата: 16 Ноя 2005 05:51 things
В куках хеш и хранится! Пасс перебирать не надо! Заменяешь свой хеш на админовский, свой id так же меняешь и спокойно залогинишься |
| things Участник 203 |
# Дата: 16 Ноя 2005 06:02 SapienS Не во всех скриптах работает. Некоторые хеш к ip привязывают на время сессии. |
![[Valid RSS]](valid-rss.png "Validate my RSS feed")