Neighing viewtopic gestito da phpbb. Proteggere PhpBB

Neighing viewtopic gestito da phpbb. Proteggere PhpBB

Bene, iniziamo a dare piccoli consigli su come ottimizzare e promuovere i siti (forum) su phpBB. In questo caso, eseguiremo un piccolo trucco che aiuterà a eliminare un collegamento esterno come "Powered by phpBB © ...". In questa pubblicazione esamineremo 2 modi in cui puoi farlo: una tecnica per phpBB 3.x.x.

Rimozione di un collegamento esterno Realizzato con phpBB © 2000, 2002, 2005, 2007 Supporto phpBB Group e russo phpBB

Il primo modo per rimuovere un collegamento esterno che dice Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Pertanto, il modo più semplice è eliminare utilizzando il pannello di amministrazione. Andiamo al pannello amministrativo, andiamo alla voce di menu “Stili”, a sinistra vediamo il pannello dove si trova il blocco nel menu, a noi interessa il blocco “Componenti stile”, e ad esso “Modelli”. Secondo lo standard, nella finestra proposta vedremo: prosilver e subsilver2, anche se potrebbero essercene altri se li installi. In generale, non è questo il punto. Dal set proposto, seleziona quello predefinito. Fare clic sul pulsante "modifica" accanto al modello. Successivamente, viene visualizzata una finestra che ti chiede di "Selezionare un file modello". Successivamente, seleziona "File modello" - "overall_footer.html". L'editor HTML viene visualizzato di seguito. Troviamo il seguente codice: "Powered by phpBB 2000, 2002, 2005, 2007 phpBB Group" e lo eliminiamo semplicemente, anche se puoi impostare il tuo collegamento e la didascalia. "
(TRANSLATION_INFO) " (che si trova sotto, può anche essere cancellato) - questo codice è responsabile della localizzazione, ad esempio di un collegamento esterno con la scritta "Supporto phpBB russo".

Il secondo modo per rimuovere un collegamento esterno che dice Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Questo metodo è simile, ma ci colleghiamo al sito tramite Pratacol ftp. Vai al seguente percorso stili/template_name/template/overall_footer.html. E modifichiamo lo stesso codice che abbiamo modificato sopra. Se modifichi il codice, non dimenticare di impostare la codifica UTF: in questo modo potrebbero apparire dei "cracker" (quadrati e altri simboli incomprensibili) al posto delle ancore.

In uno dei commenti al mio articolo, mi è stato chiesto di dirti come rimuovere il campo copyright dei creatori del motore phpBB: "Creato basato su phpBB". Poiché queste informazioni potrebbero essere utili ad altri visitatori, ho deciso di scrivere questo articolo a riguardo.

Perché rimuovere questo campo? Molti di voi potrebbero esprimere indignazione, affermando che la rimozione di questo campo sarà considerata una violazione del diritto d'autore. Tuttavia, questo non è del tutto vero: phpBB è un forum web gratuito con codice sorgente gratuito. Pertanto, qualsiasi modifica apportata presuppone che tu possieda il copyright del tuo prodotto specifico. In altre parole, dopo aver creato un forum su questo motore, diventa di tua proprietà intellettuale. Gli autori di phpBB hanno scritto un meccanismo, uno strumento per creare forum e non un prodotto finito. In questo caso, se rimuovi l'avviso di copyright nel footer del forum, ciò non costituirà una violazione del copyright. D'altra parte, se lasci questa iscrizione, sarà un segno di gratitudine e supporto per gli sviluppatori, il che è sicuramente positivo!

Quindi, se decidi di sbarazzarti di questa iscrizione, il primo passo è scoprire dove si trova il parametro responsabile della visualizzazione delle informazioni sul copyright. Per fare ciò, dobbiamo aprire qualsiasi pagina del forum in cui il forum è visibile in uno dei browser che supportano la funzione di visualizzazione del codice della pagina (Opera, Google Chrome, Firefox, ecc.) E fare clic con il tasto destro del mouse sull'iscrizione stessa e selezionare dall'opzione del menu a discesa per visualizzare il codice (Ispeziona elemento).

Dopo aver aperto l'ispettore codice, possiamo vedere che il blocco che ci interessa si chiama “copyright”. È lì che è necessario apportare modifiche per modificare, nascondere o eliminare le informazioni.

Il secondo passo è trovare il file che contiene il blocco “copyright”. Poiché non conosciamo il nome del file, la ricerca manuale richiederà molto tempo. Pertanto, utilizzeremo una comoda funzione: ricerca per contenuto, disponibile nel mio file manager preferito - Total Commander, di seguito denominato TC (esistono altri modi per effettuare la ricerca per contenuto, ma non verranno discussi in questo articolo) . Nel file manager, apri la cartella in cui è installato il forum sul server locale o sul server FTP del tuo hoster. Per facilitare la ricerca, apriremo immediatamente la cartella in cui sono archiviati i file dello stile predefinito. Successivamente, seleziona cerca file nel menu "Comandi" o premi semplicemente Alt + F7. Nella finestra di ricerca che appare, ignoriamo il campo “Cerca file”, poiché il nome del file ci è sconosciuto. Nel campo “Percorso di ricerca” va specificato il percorso della cartella su cui è installato il motore del forum; di default il veicolo preleva il percorso in automatico se la finestra di ricerca è stata richiamata dalla parte attiva dove si visualizza il contenuto delle cartelle. Successivamente, metti un segno di spunta accanto al campo "Con testo" e inserisci "copyright" nella barra di ricerca, dopodiché facciamo clic con coraggio sul pulsante " Avvia ricerca" e attendi che i risultati vengano visualizzati.


La ricerca ci ha restituito diversi file, in teoria dovrebbero essercene 5, in cui è menzionato il nome del blocco del copyright. Da tutti i file di output vediamo chiaramente che siamo interessati al file chiamato "overall_footer.html" poiché il blocco si trova nel piè di pagina della pagina e la parola global suggerisce che questo file memorizza le impostazioni globali, cioè per l'intero foro. Ora abbiamo 2 opzioni su come modificare il file di cui abbiamo bisogno: tramite l'editor di modelli phpBB integrato o utilizzando un editor di terze parti. Per prima cosa esamineremo l'opzione di modifica attraverso l'interfaccia nativa di phpBB.
Dobbiamo andare su "Centro di amministrazione" e andare alla scheda "Stili". Nella sezione di gestione dello stile, vediamo quale stile è installato per impostazione predefinita, questo è indicato da un asterisco dopo il nome dello stile. Nell'esempio è installato solo uno stile di base: prosilve, ma è possibile averne diversi.

Successivamente, nella sezione di gestione dei componenti di stile, andiamo nella sottosezione “Modelli” e selezioniamo la voce “Modifica” accanto al nostro tema attivo.


Ora dobbiamo selezionare dall'elenco a discesa il file che ci interessa chiamato "overall_footer.html"


Nell'area di modifica che appare, andiamo in fondo alla pagina e troviamo la riga:

dopodiché rimuoviamo il seguente codice:

(CREDIT_LINE) (TRANSLATION_INFO) (DEBUG_OUTPUT)

Alla fine, il tuo codice dovrebbe assomigliare a questo:


Ora premiamo il pulsante "Invia" e voilà, abbiamo ottenuto il risultato desiderato: l'avviso di copyright non è più presente.

Passiamo ad un modo alternativo per ottenere lo stesso risultato: quando abbiamo già il nome del file desiderato, andiamo nella cartella "template" del tema attivato di default, e cerchiamo lo stesso file chiamato "overall_footer.html ".


Successivamente, fai clic con il pulsante destro del mouse sul file e seleziona "Apri con" nel menu a discesa e seleziona il tuo editor di codice preferito, nel mio caso è Blumentals WeBuilder 2011. Successivamente, proprio come nel caso dell'editor di modelli phpBB nativo , eliminare il codice precedentemente specificato e salvare le modifiche. Il programma dispone anche di un client FTP integrato molto comodo che consente di modificare e salvare le modifiche ai file su un server remoto.

Pronto! Se hai seguito tutti i passaggi precedenti, dovresti essere in grado di rimuovere l'iscrizione. Congratulazioni!

Quindi, caro amico, per qualche motivo hai installato PhpBB sul tuo sito.
Forse perché non hai letto la rivista ][, o forse perché ti piace questo motore. Tuttavia, la possibilità che tu non venga violato è minima. Eserciti di bambini setacciano Internet alla ricerca della prossima vittima. Come proteggersi dal primitivo
attacco al forum? Proverò a darti qualche idea. Puoi usarne la maggior parte in altri script.

Aggiornamento

Questo è per impostazione predefinita. Il forum deve essere aggiornato. E il fatto che tu abbia mod 5/10/15 (sottolineate come appropriato) non è una scusa. È solo che in questo caso dovresti usare le "modifiche al codice", accuratamente predisposte dagli sviluppatori del forum sotto forma delle stesse mod. Consiglio inoltre di iscrivermi alla newsletter sulle nuove versioni del forum. Tuttavia, non puoi tenere traccia di tutto e sei troppo pigro
succede, vero? Pertanto, ti offro diversi modi passivi per proteggere il forum.

Versione nascosta

Apparso di recente in PhpBB ed è di grande aiuto contro gli hacker di Google. E se ancora non aggiorni il forum, penso che non ti sarà difficile correggere i file simple_footer.tpl e general_footer.tpl. Tuttavia, puoi andare oltre e scrivere la frase malvagia "Powered by PhpBB" utilizzando JavaScript



La perdita è minima se l'utente ha Javascript disabilitato, anche se la frase non dovrebbe essere rimossa del tutto per principi puramente morali. Oppure puoi prenderlo in giro scrivendo “PhpBB 2.0.6”. Quando un hacker, dopo averti hackerato, scopre la versione reale, per rabbia ti lascerà cadere l'intero database 😉 Puoi anche scrivere "Php BB"... Non è del tutto onesto, ma funziona!

Stile personalizzato

Non solo decorerà il tuo forum, ma aumenterà anche leggermente la protezione contro gli exploit che estraggono informazioni da una pagina HTML. E poi lo stile standard crea la sensazione che l'amministratore abbia trascurato il forum o sia zoppo.

Prefisso della tabella

Perché non inserire qualcosa di tuo lì, ad esempio "ExBB". A proposito, questo può essere fatto dopo l'installazione modificando config.php e rinominando le tabelle.

Modifica della banca dati

Un modo affidabile per proteggersi dagli attacchi SQL injection-Union consiste nel modificare il database. Aggiungi campi vuoti extra alle tabelle, esamina il codice e gli exploit primitivi (!) falliranno a causa di una mancata corrispondenza nel numero di campi. O in un altro modo: rinominare il campo user_password in blahblahblah e correggere le fonti (questo processo può essere facilmente automatizzato). Questo è tutto, ora quando provi a ottenere l'hash della password dell'amministratore, l'exploit si bloccherà per la sorpresa :) E non solo l'exploit.

Nascondere config.php

Ti semplificherà la vita se l'hacker sarà in grado di leggere i file sul server grazie al bug di inclusione. Naturalmente, in questo caso, il contenuto del file gli sarà comunque di scarsa utilità, a meno che non si metta lo stesso pass su tutto.

Password normale

Per quanto banale possa sembrare, la password dovrebbe essere nel formato Sdh66rH904hG: questo è l'unico modo in cui non dovrai preoccuparti di hackerare l'hash. Lo memorizzerai in Password Commander. Bene, dimmi, quanto spesso dovrai introdurlo? Ora, se l’hash viene rubato, sarà di minore utilità.

Disabilita la ricerca

E non farebbe male. Funziona in modo terribilmente difettoso, consuma un'incredibile quantità di spazio nel database e riduce orribilmente le prestazioni. E poi è fonte di bug, lo stesso punto forte. Sfortunatamente, questo non può essere fatto con i mezzi standard, ma non per niente stai leggendo ][? Rimuovi i file ad esso correlati, elimina le tabelle e ripulisci materie prime e argomenti. Il risultato è una maggiore produttività e sicurezza. Se sei troppo pigro per capirlo, allora ti do un suggerimento: elimina le chiamate alle funzioni che si trovano in Functions_search.php. Tranne l'ultimo, ovviamente. Pensa a quali tabelle eliminare.... Non ho avuto problemi.

Amministratore falso

Nascondi il vero pannello di amministrazione e in quello falso elimina tutte le query nel database come INSERT, UPDATE, ecc. Meglio ancora, invece di eseguirli, registrarli in un file, insieme all'IP e ad altri dati utili. Riesci a immaginare quanto sarà lento un hacker quando le modifiche che apporta non verranno applicate? Solo un honeypot, non un forum!

Modifica dell'algoritmo di hashing

Generalmente una tecnica utile. Cambia tutte le chiamate di funzione relative all'hashing con le tue, che, dopo aver chiamato quelle standard, modificano leggermente l'hash. Ad esempio ac45e53bc8dc478e->ac45e53bc8da478e.
Difficilmente un hacker sospetta un trucco... Inoltre, guardando questi due hash, non noterà immediatamente la differenza...

Bene, perché è stata inventata questa unione, ha portato così tanti buchi.... Quindi apri un include per lavorare con il database e aggiungi il filtro delle query con UNION!

Conclusione

Più file, tabelle e campi rinomini, più file

  • Sarà più difficile per gli Haxor
  • Sarà più difficile per te aggiornare il forum
  • Farai più errori

Quindi conosci i tuoi limiti e non essere paranoico. Eseguendo tutti questi trucchi, spaventerai/fermerai sia Kiddis che Haxor, a meno che quest'ultimo non abbia l'obiettivo specifico di hackerarti. Sebbene la ridenominazione dei campi della tabella offra una protezione quasi impenetrabile contro l'SQL injection, perché non ci sarà alcun ordinamento davanti all'hacksor.



Popolare nella categoria:
Visualizzazione del meteo al risveglio
Visualizzazione del meteo al risveglio
Leggere
Come installare lo sfondo live su iOS Come installare lo sfondo iOS
Come installare lo sfondo live su iOS Come installare lo sfondo iOS
Leggere
Come pagare le comunicazioni Megafon con una carta bancaria senza commissioni?
Come pagare le comunicazioni Megafon con una carta bancaria senza commissioni?
Leggere
Cos'è UX e UI design: caratteristiche e differenze Cos'è ui ux design
Cos'è UX e UI design: caratteristiche e differenze Cos'è ui ux...
Leggere

Articoli Recenti
Il carattere più piccolo. Piccole lettere. Passo dopo passo...
Leggere
Programmi di progettazione, software per progettisti
Leggere
Plugin per la creazione di pagine di destinazione per WordPress...
Leggere
Perché il mio computer è diventato lento nel tempo?
Leggere
Perché il mio computer è diventato lento nel tempo?
Leggere
Cos'è un ripetitore e come funziona?
Leggere
Come iniziare a estrarre STORJ e quanto...
Leggere
Come ottenere un milione di iscritti live in un gruppo...
Leggere
Superiore