A szomszédos nézettémát a phpbb üzemelteti. A PhpBB védelme

A szomszédos nézettémát a phpbb üzemelteti. A PhpBB védelme

Nos, kezdjünk el apró tippeket adni a webhelyek (fórumok) optimalizálásához és népszerűsítéséhez a phpBB-n. Ebben az esetben egy kis feltörést hajtunk végre, amely segít megszabadulni egy olyan külső hivatkozástól, mint például a "Powered by phpBB © ...". Ebben a kiadványban 2 módot fogunk megvizsgálni, amelyekkel ezt megteheti – egy technikát a phpBB 3.x.x.

Külső hivatkozás eltávolítása Üzemeltető: phpBB © 2000, 2002, 2005, 2007 phpBB Csoport és orosz phpBB támogatás

Az első módja annak, hogy eltávolítsunk egy külső hivatkozást, amelyen az áll, hogy Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Így a legegyszerűbb módja a törlés az adminisztrációs panelen. Az adminisztrációs panelre lépünk, a „Stílusok” menüpontra, balra látjuk azt a panelt, ahol a menü blokkja található, a „Stílusösszetevők” blokk érdekel, és abban a „Sablonok”. A szabvány szerint a javasolt ablakban a következőket fogjuk látni: prosilver és subsilver2, bár lehetnek mások is, ha telepíti őket. Általában nem ez a lényeg. A javasolt készletből válassza ki az alapértelmezettet. Kattintson a sablon melletti "szerkesztés" gombra. Ezután megjelenik egy ablak, amely arra kéri, hogy „Válasszon sablonfájlt”. Ezután válassza ki a „Sablonfájl” - „overall_footer.html” lehetőséget. A HTML szerkesztő lent jelenik meg. Megtaláljuk a következő kódot: „Powered by phpBB 2000, 2002, 2005, 2007 phpBB Group”, és egyszerűen töröljük, bár beállíthatja saját linkjét és feliratát. "
(TRANSLATION_INFO) " (amely lent található, szintén törölhető) - ez a kód felelős a lokalizációért, például egy külső hivatkozás az "orosz phpBB-támogatás" felirattal.

A második módszer egy külső hivatkozás eltávolítására, amelyen a Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group felirat szerepel. Ez a módszer hasonló, de Pratacol ftp-n keresztül csatlakozunk az oldalhoz. Nyissa meg a következő elérési utat: styles/template_name/template/overall_footer.html. És ugyanazt a kódot szerkesztjük, amelyet fent szerkesztettünk. Ha megváltoztatja a kódot, ne felejtse el beállítani az UTF kódolást - így a horgonyok helyén „repedés” (négyzetek és egyéb érthetetlen szimbólumok) jelenhet meg.

A cikkem egyik megjegyzésében megkértek, hogy mondjam el, hogyan lehet eltávolítani a phpBB-motor alkotóinak szerzői jogi mezőjét: „PhpBB alapján készült.” Mivel ezek az információk más látogatók számára is hasznosak lehetnek, úgy döntöttem, hogy erről írom ezt a cikket.

Miért távolítsa el ezt a mezőt? Sokan felháborodását fejezhetik ki, mondván, hogy ennek a mezőnek az eltávolítása a szerzői jogok be nem tartásaként fog minősülni. Ez azonban nem teljesen igaz – a phpBB egy ingyenes webfórum ingyenes forráskóddal. Ezért minden változtatás feltételezi, hogy az adott termék szerzői joga Öné. Más szóval, miután létrehoz egy fórumot ezen a motoron, az Ön szellemi tulajdonává válik. A phpBB szerzői egy mechanizmust írtak, egy eszközt a fórumok létrehozásához, és nem egy kész terméket. Ebben az esetben, ha eltávolítja a szerzői jogi megjegyzést a fórum láblécében, ez nem jelenti a szerzői jogok megsértését. Viszont ha mégis meghagyod ezt a feliratot, az a hála és a támogatás jele lesz a fejlesztők felé, ami mindenképpen jó!

Tehát, ha úgy dönt, hogy megszabadul ettől a felirattól, akkor az első lépés az, hogy megtudja, hol található a szerzői jogi információk megjelenítéséért felelős paraméter. Ehhez meg kell nyitnunk minden olyan fórumoldalt, ahol a fórum látható az oldalkód megtekintése funkciót támogató böngészők valamelyikében (Opera, Google Chrome, Firefox stb.), majd jobb gombbal rá kell kattintani magára a feliratra és válassza ki a legördülő menüből a kód megtekintéséhez (Elem ellenőrzése).

A kódellenőr megnyitása után láthatjuk, hogy a minket érdeklő blokkot „szerzői jognak” hívják. Itt kell módosításokat végrehajtani az információk szerkesztéséhez, elrejtéséhez vagy törléséhez.

A második lépés a „copyright” blokkot tartalmazó fájl megkeresése. Mivel nem ismerjük a fájl nevét, a kézi keresés nagyon sokáig tart. Ezért egy kényelmes funkciót fogunk használni - tartalom szerinti keresés, amely elérhető a kedvenc fájlkezelőmben - a Total Commanderben, a továbbiakban TC (a tartalom szerinti keresésnek van más módja is, de ezekről ebben a cikkben nem lesz szó) . A fájlkezelőben nyissa meg azt a mappát, amelybe a fórum telepítve van a tárhely helyi kiszolgálóján vagy FTP-kiszolgálóján. A keresés megkönnyítése érdekében azonnal megnyitjuk azt a mappát, amelyben az alapértelmezett stílusú fájlokat tároljuk. Ezután válassza ki a fájlok keresését a „Parancsok” menüben, vagy egyszerűen nyomja meg az Alt + F7 billentyűket. A megjelenő keresőablakban figyelmen kívül hagyjuk a „Fájlok keresése” mezőt, mivel a fájl neve számunkra ismeretlen. A „Keresés helye” mezőben meg kell adni a telepített fórummotorral rendelkező mappa elérési útját, alapértelmezés szerint a jármű automatikusan felveszi az útvonalat, ha a keresőablak meghívása abból az aktív részből történt, ahol a mappák tartalmát tekinti meg. Ezután tegyen pipát a „Szöveggel” mező mellé, és írja be a „copyright” szót a keresősávba, majd bátran kattintsunk a „Keresés indítása” gombra, és várjuk meg, amíg megjelennek az eredmények.


A keresés több fájlt is adott nekünk, elméletileg 5 darabnak kellene lennie, amiben a szerzői jogi blokk neve szerepel. Az összes kimeneti fájlból világosan látjuk, hogy az „overall_footer.html” nevű fájl érdekel bennünket, mivel a blokk az oldal láblécében található, és az általános szó arra utal, hogy ez a fájl globális beállításokat tárol, azaz az egész fórumot. Most 2 lehetőségünk van a szükséges fájl szerkesztésére - a beépített phpBB sablonszerkesztővel vagy egy harmadik féltől származó szerkesztő használatával. Először a natív phpBB felületen keresztül nézzük meg a szerkesztési lehetőséget.
Mennünk kell az „Adminisztrációs központba”, és a „Stílusok” fülre. A stíluskezelés részben megnézzük, hogy alapértelmezés szerint melyik stílus van telepítve, ezt a stílus neve után egy csillag jelzi. A példában csak egy alapstílus van telepítve - a prosilve, de több is lehet.

Ezután a stíluskomponens-kezelés részben a „Sablonok” alszakaszhoz lépünk, és az aktív témánk mellett kiválasztjuk a „Szerkesztés” elemet.


Most ki kell választanunk a legördülő listából azt a fájlt, amely érdekli az „overall_footer.html” nevet.


A megjelenő szerkesztési területen az oldal aljára lépünk, és megkeressük a következő sort:

ezután eltávolítjuk a következő kódot:

(CREDIT_LINE) (TRANSLATION_INFO) (DEBUG_OUTPUT)

Végül a kódnak így kell kinéznie:


Most megnyomjuk a „Küldés” gombot, és íme, elértük a kívánt eredményt - a szerzői jogi megjegyzés már nincs meg.

Térjünk át egy alternatív lehetőségre, hogyan érhetjük el ugyanazt az eredményt: amikor már megvan a kívánt fájl neve, akkor a téma alapértelmezés szerint aktivált „sablon” mappájába lépünk, és ugyanazt a fájlt keressük „ overall_footer.html".


Ezután kattintson a jobb gombbal a fájlra, és válassza ki a „Megnyitás ezzel” elemet a legördülő menüben, és válassza ki a kedvenc kódszerkesztőjét, esetemben ez a Blumentals WeBuilder 2011. Ezt követően ugyanúgy, mint a natív phpBB sablonszerkesztő esetében , törölje a korábban megadott kódot és mentse el a változtatásokat. A program egy nagyon kényelmes beépített FTP-klienssel is rendelkezik, amely lehetővé teszi a fájlok szerkesztését és elmentését egy távoli szerveren.

Kész! Ha az összes fenti lépést követte, akkor el kell tudnia távolítani a feliratot. Gratulálunk!

Szóval, kedves barátom, valamiért telepítette a PhpBB-t az oldalára.
Talán azért, mert nem olvasta a ][ magazint, vagy azért, mert szereti ezt a motort. Minimális azonban annak az esélye, hogy nem fognak feltörni. Gyerekek seregei járják az internetet, keresve a következő áldozatukat. Hogyan védheti meg magát a primitívektől
fórum hackelés? Megpróbálok ötleteket adni. Legtöbbjüket más szkriptekben is használhatja.

Frissítés

Ez alapértelmezés szerint. A fórumot frissíteni kell. És az a tény, hogy 5/10/15 (aláhúzva megfelelő) modod van, nem mentség. Csupán arról van szó, hogy ebben az esetben „kódmódosításokat” kell használnia, amelyeket a fórum fejlesztői gondosan lefektettek ugyanazon modok formájában. Javaslom továbbá, hogy iratkozzon fel a fórum új verzióiról szóló hírlevélre. Azonban nem tudsz mindent nyomon követni, és túl lusta vagy
megtörténik, nem? Ezért számos passzív módot ajánlok a fórum védelmére.

Rejtős változat

Nemrég jelent meg a PhpBB-ben, és nagy segítség a Google hackerei ellen. És ha továbbra sem frissíti a fórumot, úgy gondolom, nem lesz nehéz kijavítania a simple_footer.tpl és az overall_footer.tpl fájlokat. Azonban továbbléphet, és leírhatja a "Powered by PhpBB" gonosz kifejezést javascript használatával



Csekély a veszteség, ha a felhasználónál le van tiltva a javascript, bár a kifejezést pusztán erkölcsi elvek alapján nem szabad teljesen eltávolítani. Vagy gúnyolódhat rajta a „PhpBB 2.0.6” írásával. Amikor egy hacker, miután feltört, megtudja a valódi verziót, akkor dühében ledobja helyetted a teljes adatbázist 😉 Azt is írhatod, hogy "Php BB"... Nem teljesen őszinte, de működik!

Egyedi stílus

Ez nemcsak a fórumot díszíti, hanem kissé megnöveli a védelmet a HTML-oldalakról információkat kimásoló támadásokkal szemben. És akkor a standard stílus azt az érzést kelti, hogy az admin vagy elhanyagolta a fórumot, vagy béna.

Táblázat előtag

Miért nem tesz oda valami sajátot, például "ExBB"-t. Ez egyébként telepítés után a config.php szerkesztésével és a táblák átnevezésével megtehető.

Adatbázis módosítás

Az SQL Injection-Union támadások elleni védelem megbízható módja az adatbázis megváltoztatása. Adjon hozzá extra üres mezőket a táblákhoz, menjen végig a kódon, és a primitív (!) exploitok meghiúsulnak a mezők számának eltérése miatt. Vagy más módon: nevezze át a user_password mezőt blablabla-ra, és javítsa ki a forrásokat (ez a folyamat könnyen automatizálható). Ennyi, most, amikor megpróbálod megszerezni az admin jelszó hash-ét, az exploit meglepetésben lefagy :) És nem csak az exploit.

A config.php elrejtése

Megkönnyíti az életét, ha a hacker képes olvasni a szerveren lévő fájlokat az include bugnak köszönhetően. Természetesen ebben az esetben a fájl tartalma még mindig nem sok hasznát veszi, hacsak nem teszed mindenre ugyanazokat a passzokat.

Normál jelszó

Bármilyen elcsépeltnek tűnik is, a jelszónak Sdh66rH904hG formátumúnak kell lennie – ez az egyetlen módja annak, hogy ne kelljen aggódnia a hash feltörése miatt. A Password Commanderben fogja tárolni. Nos, mondd, milyen gyakran kell majd bemutatnod? Ha a hash-t ellopják, akkor kevesebb haszna lesz.

Keresés letiltása

És nem ártana. Rettenetesen hibásan működik, hihetetlenül sok helyet fogyaszt az adatbázisban és borzasztóan csökkenti a teljesítményt. És akkor ez a hibák forrása, ugyanaz a kiemelés. Sajnos ezt nem lehet szabványos eszközökkel megtenni, de nem hiába olvasod a ][? Távolítsa el a kapcsolódó fájlokat, dobja el a táblázatokat, és tisztítsa meg a nyersanyagokat és témákat. Az eredmény megnövekedett termelékenység és biztonság. Ha lusta vagy rájönni, akkor adok egy tippet: szüntesse meg a functions_search.php fájlban található függvények hívását. Kivéve persze az utolsót. Gondolja át, mely asztalokat dobja le.... Nem volt semmi bajom.

Hamis admin

Rejtsd el az igazi adminisztrációs panelt, és a hamis panelen töröld az adatbázis összes lekérdezését, például INSERT, UPDATE stb. Még jobb, ha végrehajtásuk helyett naplózza őket egy fájlba az IP-vel és más hasznos adatokkal együtt. El tudod képzelni, milyen lassú lesz egy hacker, amikor az általa végrehajtott változtatásokat nem alkalmazzák? Csak egy mézesedény, nem fórum!

A kivonatolási algoritmus megváltoztatása

Általában hasznos technika. Változtassa meg az összes hash-hez kapcsolódó függvényhívást a sajátjára, amely a szabványosak meghívása után kissé módosítja a hash-t. Például ac45e53bc8dc478e->ac45e53bc8da478e.
Egy hacker nem valószínű, hogy trükkre gyanakszik... Ráadásul ezt a két hash-t nézve nem fogja azonnal észrevenni a különbséget...

Nos, miért találták ki ezt az uniót, annyi lyukat hozott.... Tehát nyisson meg egy include-ot az adatbázissal való munkához, és adjon hozzá lekérdezésszűrést az UNION-nal!

Következtetés

Minél több fájlt, táblát és mezőt nevez át, annál

  • A haxornak nehezebb lesz
  • A fórum frissítése nehezebb lesz
  • Több hibát fogsz elkövetni

Tehát ismerd a határaidat, és ne légy paranoiás. Mindezen trükkök végrehajtásával megijeszti/megállítja mind Kiddist, mind Haxort, hacsak utóbbinak nincs konkrét célja, hogy feltörjön. Bár a táblamezők átnevezése szinte áthatolhatatlan védelmet nyújt az SQL injekció ellen, mert a hacksor előtt nem lesz rendezés.



Népszerű a kategóriában:
Időjárás kijelző ébredéskor
Időjárás kijelző ébredéskor
olvas
Élő háttérkép telepítése iOS rendszeren Az iOS háttérkép telepítése
Élő háttérkép telepítése iOS rendszeren Az iOS háttérkép telepítése
olvas
Hogyan lehet jutalék nélkül fizetni a Megafon kommunikációért bankkártyával?
Hogyan lehet jutalék nélkül fizetni a Megafon kommunikációért bankkártyával?
olvas
Mi az UX és UI design – jellemzők és különbségek Mi az ui ux design
Mi az UX és UI design - jellemzők és különbségek Mi az ui ux...
olvas

Legfrissebb cikkek
A legkisebb betűtípus. Kis betűk. Lépésről lépésre...
olvas
Tervező programok, szoftverek tervezőknek
olvas
Céloldal-készítő bővítmények a WordPresshez...
olvas
Miért lett lassú a számítógépem az idő múlásával?
olvas
Miért lett lassú a számítógépem az idő múlásával?
olvas
Mi az átjátszó és hogyan működik?
olvas
Hogyan kezdjük el a STORJ bányászatát, és mennyit...
olvas
Hogyan szerezz egy millió élő feliratkozót egy csoportba...
olvas
Top