Blakus apskatāmo tēmu nodrošina phpbb. PhpBB aizsardzība
Nu, sāksim sniegt nelielus padomus par vietņu (forumu) optimizēšanu un reklamēšanu phpBB. Šajā gadījumā mēs veiksim nelielu uzlaušanu, kas palīdzēs atbrīvoties no veidlapas ārējās saites " Nodrošina phpBB ©...". Šajā publikācijā mēs apsvērsim 2 veidus, kā to izdarīt - paņēmienu priekš phpBB 3.x.x.
Ārējās saites noņemšana Nodrošina phpBB © 2000, 2002, 2005, 2007 phpBB grupa un krievu phpBB atbalsts
Pirmais veids, kā noņemt ārējo saiti, kas apzīmēta ar nosaukumu Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Un tā, vienkāršākais veids ir to noņemt, izmantojot administratora paneli. Mēs ieejam administratīvajā panelī, dodieties uz izvēlnes vienumu "Stili", kreisajā pusē redzam paneli, kurā atrodas bloks izvēlnē, mūs interesē bloks "Stila komponenti" un tajā "Veidnes". Saskaņā ar standartu piedāvātajā logā mēs redzēsim sekojošo: prosilver un subsilver2, lai gan var būt arī citi, ja tos instalējāt. Kopumā tas nav galvenais. No piedāvātās kopas atlasiet noklusējuma komplektu. Noklikšķiniet uz pogas "rediģēt", kas atrodas blakus veidnei. Pēc tam tiek parādīts logs, kurā tiek prasīts "Atlasīt veidnes failu". Pēc tam atlasiet "Veidnes fails" - "overall_footer.html". Zemāk tiek parādīts HTML redaktors. Mēs atrodam šādu kodu: Darbojas ar phpBB 2000, 2002, 2005, 2007 phpBB Group"un vienkārši izdzēsiet to, lai gan jūs varat iestatīt savu saiti un uzrakstu."
(TRANSLATION_INFO)
" (kas atrodas zemāk, var arī dzēst) - šis kods ir atbildīgs par lokalizāciju, piemēram, ārēja saite ar uzrakstu "Krievijas phpBB atbalsts".
Otrs veids, kā noņemt ārējo saiti, kurā teikts, ka Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Šī metode ir līdzīga, taču mēs izveidojam savienojumu ar vietni, izmantojot ftp pratacol. Dodieties uz šo ceļu styles/template_name/template/overall_footer.html. Un mēs rediģējam to pašu kodu, ko rediģējām iepriekš. Ja maināt kodu, neaizmirstiet iestatīt UTF kodējumu - enkuru vietā var parādīties "traks" (kvadrātiņi un citas nesaprotamas rakstzīmes).
Vienā no mana raksta komentāriem man lūdza jums pastāstīt, kā noņemt phpBB dzinēja veidotāju autortiesību lauku: “Izveidots, pamatojoties uz phpBB”. Tā kā šī informācija var būt noderīga citiem apmeklētājiem, es nolēmu par to uzrakstīt šo rakstu.
Kāpēc noņemt šo lauku? Daudzi no jums var paust sašutumu, ka šī lauka noņemšana tiks uzskatīta par autortiesību neievērošanu. Tomēr tā nav gluži taisnība – phpBB ir bezmaksas un atvērtā koda tīmekļa forums. Tāpēc jebkuras veiktās izmaiņas pieņem, ka esat vienīgais sava produkta autortiesību īpašnieks. Citiem vārdiem sakot, pēc foruma izveides šajā dzinējā tas kļūst par jūsu intelektuālo īpašumu. phpBB autori uzrakstīja mehānismu, forumu veidošanas rīku, nevis gatavu produktu. Šajā gadījumā, ja noņemsiet autortiesību uzrakstu foruma kājenē, tas nebūs autortiesību pārkāpums. Savukārt, ja tomēr atstāsiet šo uzrakstu, tā būs pateicības un atbalsta zīme izstrādātājiem, kas noteikti ir labi!
Tātad, ja jūs joprojām nolemjat atbrīvoties no šī uzraksta, pirmais solis, kas mums ir jānoskaidro, ir tas, kur atrodas parametrs, kas ir atbildīgs par autortiesību informācijas parādīšanu. Lai to izdarītu, ir jāatver jebkura foruma lapa, kurā forums ir redzams kādā no pārlūkprogrammām, kas atbalsta lapas koda skatīšanas funkciju (Opera, Google Chrome, Firefox u.c.), un ar peles labo pogu noklikšķinot uz paša uzraksta, atlasiet nolaižamās izvēlnes opciju koda pārskatīšana (pārbaudīt elementu).
Pēc koda inspektora atvēršanas mēs redzam, ka mūs interesējošo bloku sauc " autortiesības» . Tieši tajā ir jāveic izmaiņas, lai rediģētu, paslēptu vai dzēstu informāciju.
Otrais solis ir atrast failu, kurā ir "autortiesību" bloks. Tā kā mēs nezinām faila nosaukumu, manuāla meklēšana prasīs ļoti ilgu laiku. Tāpēc izmantosim ērtu funkciju - meklēšana pēc satura, kas ir manam iecienītākajam failu pārvaldniekam - Total Commander, turpmāk tekstā TS (ir arī citi veidi, kā meklēt pēc satura, bet tie šajā rakstā netiks apskatīti). Failu pārvaldniekā atveriet mapi, kurā ir instalēts forums jūsu mitināšanas uzņēmuma lokālajā serverī vai FTP serverī. Lai atvieglotu meklēšanu, mēs nekavējoties atvērsim mapi, kurā tiek glabāti noklusējuma stila faili. Pēc tam izvēlnē atlasiet failu meklēšanu " Komandas vai vienkārši nospiediet Alt+F7. Parādītajā meklēšanas logā mēs ignorējam lauku " Meklēt failus"jo mēs nezinām faila nosaukumu. Laukā " Meklēt atrašanās vietu"jānorāda ceļš uz mapi ar instalēto foruma dzinēju, pēc noklusējuma TS paņem ceļu automātiski, ja meklēšanas lodziņš tika izsaukts no aktīvās daļas, kurā skatāties mapju saturu. Pēc tam atzīmējiet izvēles rūtiņu blakus " Ar tekstu" un meklēšanas joslā ievadiet "autortiesības", pēc tam mēs drosmīgi nospiežam pogu " Lai sāktu meklēšanu un gaidiet rezultātus.
Meklējot mums tika iegūti vairāki faili, teorētiski tiem vajadzētu būt 5, kuros minēts autortiesību bloka nosaukums. No visiem izsniegtajiem failiem mēs skaidri redzam, ka mūs interesē fails ar nosaukumu " overall_footer.html”, jo bloks atrodas lapas kājenē, un vārds kopumā liek domāt, ka globālie iestatījumi tiek saglabāti šajā failā, tas ir, visam forumam. Tagad mums ir 2 iespējas, kā rediģēt vajadzīgo failu - izmantojot iebūvēto phpBB veidņu redaktoru vai trešās puses redaktoru. Pirmkārt, mēs apskatīsim rediģēšanu, izmantojot vietējo phpBB saskarni.
Mums jāiet iekšā Administrēšanas centrs un dodieties uz cilni Stili". Stila pārvaldības sadaļā mēs skatāmies, kāds stils ir iestatīts pēc noklusējuma, to norāda ar zvaigznīti aiz stila nosaukuma. Piemērā ir iestatīts tikai viens, bāzes stils ir prosilve, bet jums var būt vairāki no tiem.
Tālāk stila komponentu pārvaldības sadaļā mēs pārejam uz apakšsadaļu “ Veidnes un atlasiet vienumu " Mainīt» blakus mūsu aktīvajai tēmai.
Tagad mums no nolaižamā saraksta jāatlasa mūs interesējošais fails ar nosaukumu " overall_footer.html»
Parādītajā rediģēšanas apgabalā mēs ejam līdz pašai lapas apakšai un atrodam rindiņu:
pēc tam mēs noņemam šādu kodu:
(KREDĪTLĪNIJA)(TRANSLATION_INFO) (DEBUG_OUTPUT)
Galu galā jūsu kodam vajadzētu izskatīties šādi:
Tagad mēs nospiežam pogu " Sūtīt” un voila, mēs esam sasnieguši vēlamo rezultātu - vairs nav autortiesību uzraksta.
Pāriesim uz alternatīvu veidu, kā sasniegt to pašu rezultātu: kad mums jau ir vajadzīgā faila nosaukums, mēs ejam uz mapi " veidne»motīva aktivizēta pēc noklusējuma, un meklējiet to pašu failu ar nosaukumu « overall_footer.html«.
Pēc tam ar peles labo pogu noklikšķiniet uz faila un atlasiet " Lai atvērtu ar” un atlasiet savu iecienītāko koda redaktoru, manā gadījumā tas ir Blumentals WeBuilder 2011. Pēc tam, tāpat kā vietējā phpBB veidņu redaktora gadījumā, izdzēsiet iepriekš norādīto kodu un saglabājiet izmaiņas. Programmai ir arī ļoti ērts iebūvēts FTP klients, kas ļauj rediģēt un saglabāt attālā servera failu izmaiņas.
Gatavs! Ja veicāt visas iepriekš minētās darbības, jums vajadzēja būt iespējai noņemt uzrakstu. Apsveicam!
Tātad, dārgais draugs, kaut kādu iemeslu dēļ jūs ievietojāt sevi PhpBB vietnē.
Varbūt tāpēc, ka neesat lasījis žurnālu ][, vai varbūt tāpēc, ka jums patīk šis dzinējs. Tomēr iespēja, ka jūs netiksiet uzlauzta, ir minimāla. Kiddis armijas pārlūko internetu, meklējot savu nākamo upuri. Kā pasargāt sevi no primitīvā
foruma uzlauzšana? Es mēģināšu jums sniegt dažas idejas. Lielāko daļu no tiem varat izmantot citos skriptos.
Atjaunināt
Tas ir pēc noklusējuma. Forums ir jāatjaunina. Un tas, ka jums ir 5/10/15 (atbilstoši pasvītrot) modifikācijas nav attaisnojums. Tikai šajā gadījumā jums vajadzētu izmantot "koda izmaiņas", kuras foruma izstrādātāji rūpīgi ievietojuši to pašu modifikāciju veidā. Iesaku arī abonēt biļetenu par jaunajām foruma versijām. Tomēr jūs nevarat izsekot visam un slinkumam
notiek, vai ne? Tāpēc es jums piedāvāju vairākus pasīvus foruma aizsardzības veidus.
Versijas slēpšana
Nesen parādījās PhpBB un ļoti palīdz pret Google hakeriem. Un, ja jūs joprojām neatjaunināsit forumu, es domāju, ka jums nebūs grūti salabot simple_footer.tpl un overall_footer.tpl failus. Tomēr var iet tālāk un ar javascript uzrakstīt ļauno frāzi "Powered by PhpBB".
Ja lietotājs ir atspējojis javascript, ir maz zaudējumu, lai gan frāzi nevajadzētu pilnībā noņemt, pamatojoties uz tīri morāles principiem. Vai arī varat to izsmiet, rakstot "PhpBB 2.0.6". Kad hakeris pēc tevis uzlaušanas uzzinās īsto versiju, tad aiz dusmām nometīs tev visu datubāzi 😉 Vari arī uzrakstīt "Php BB"... Nav gluži godīgi, bet strādā!
pielāgots stils
Tas ne tikai uzlabos jūsu forumu, bet arī nedaudz uzlabos aizsardzību pret ļaunprātīgu izmantošanu, kas izņem informāciju no HTML lapas. Un tad standarta stils rada sajūtu, ka admins vai nu forumā guva vārtus, vai lamo.
Tabulas prefikss
Kāpēc gan tur neielikt kaut ko savu, piemēram, "ExBB". Starp citu, to var izdarīt arī pēc instalēšanas, rediģējot config.php un pārdēvējot tabulas.
Datu bāzes modifikācija
Uzticams veids, kā aizsargāties pret SQL-injection-Union uzbrukumiem, ir datu bāzes maiņa. Pievienojiet tabulām papildu tukšus laukus, izejiet cauri kodam, un primitīvie (!) izlietojumi tiks izniekoti lauku skaita neatbilstības dēļ. Vai arī cits veids: pārdēvējiet lauku user_password uz blahblahblah un salabojiet avotus (šo procesu varat viegli automatizēt). Tas ir viss, tagad, mēģinot dabūt administratora paroles jaucējkodu, exploit būs pārsteigums 🙂 Un ne tikai exploit.
Slēpts config.php
Tas atvieglos jūsu dzīvi, ja haxor iegūs iespēju lasīt failus serverī, pateicoties iekļautajai kļūdai. Protams, šajā gadījumā faila saturs viņam tik un tā maz noderēs, ja vien visam neieliksi vienādas piespēles.
Parasta parole
Tā kā tas nav banāls, bet parolei jābūt formā Sdh66rH904hG - vienīgais veids, kā jūs nevarat uztraukties par jaucējkoda uzlaušanu. Jūs to saglabāsit programmā Password Commander. Nu, pastāstiet man, cik bieži jums tas ir jāievada? Tagad, ja hash joprojām tiek nozagts, tad no tā būs mazāka jēga.
Pārtrauciet meklēšanu
Un tas nekaitētu. Tas darbojas šausmīgi buggy, patērē neticami daudz vietas datu bāzē un šausmīgi samazina veiktspēju. Un tad tas ir kļūdu avots, tas pats izceļ. Diemžēl ar standarta līdzekļiem to nav iespējams izdarīt, bet ne velti tu lasi ][? Noņemiet ar to saistītos failus, nometiet tabulas un notīriet izejvielas un motīvus. Rezultāts ir paaugstināta produktivitāte un drošība. Ja esat pārāk slinks, lai to izdomātu, es jums pateikšu: likvidējiet izsaukumus uz funkcijām, kas atrodas functions_search.php. Protams, izņemot pēdējo. Un padomā, kurus galdus nomest.... Man nebija problēmu.
Viltus administrators
Paslēpiet īsto administratora paneli un izdzēsiet visus datubāzes pieprasījumus, piemēram, INSERT, UPDATE utt. Vēl labāk, tā vietā, lai tos izpildītu, reģistrējiet tos failā kopā ar IP un citiem noderīgiem datiem. Vai varat iedomāties, cik lēns būs hakeris, kad viņa veiktās izmaiņas netiks piemērotas? Taisns meduspods, nevis forums!
Jaukšanas algoritma maiņa
Vispār noderīgs triks. Mainiet visus ar hash saistītos funkciju izsaukumus uz savējiem, kas pēc standarta izsaukšanas nedaudz modificē jaucējfunkciju. Piemēram, ac45e53bc8dc478e-> ac45e53bc8da478e.
Hakerim diez vai būs aizdomas par viltību... Turklāt, skatoties uz šiem diviem hashiem, viņš uzreiz nepamanīs atšķirību...
Nu, šī savienība tika izgudrota, tā ienesa tik daudz caurumu .... Tātad atveriet iekļaut darbam ar datu bāzi un pievienojiet vaicājumu filtrēšanu ar UNION!
Secinājums
Jo vairāk pārdēvējat failus, tabulas un laukus, jo
- Haksoram būs grūtāk
- Jums būs grūtāk atjaunināt forumu
- Pieļausi vairāk kļūdu
Tāpēc ziniet, kad apstāties, un nekļūstiet paranojā. Veicot visus šos trikus, jūs nobiedēsit/apturēsiet gan kiddis, gan huksoru, ja vien pēdējam nav konkrēts mērķis jūs uzlauzt. Lai gan tabulas lauku pārdēvēšana nodrošina gandrīz necaurlaidīgu aizsardzību pret SQL ievadīšanu, jo pirms haxor, ņemiet vērā, nebūs šķirošanas.