Mēs aizsargājam PhpBB. PhpBB Noble aizsardzība, ko nodrošina phpbb
Vienā no mana raksta komentāriem man tika lūgts pastāstīt, kā noņemt phpBB dzinēja veidotāju autortiesību lauku: “Izveidots, pamatojoties uz phpBB”. Tā kā šī informācija var būt noderīga citiem apmeklētājiem, es nolēmu par to uzrakstīt šo rakstu.
Kāpēc noņemt šo lauku? Daudzi no jums var paust sašutumu, sakot, ka šī lauka noņemšana tiks uzskatīta par autortiesību neievērošanu. Tomēr tā nav gluži taisnība – phpBB ir bezmaksas interneta forums ar bezmaksas pirmkodu. Tāpēc jebkuras veiktās izmaiņas pieņem, ka jums pieder jūsu konkrētā produkta autortiesības. Citiem vārdiem sakot, pēc foruma izveides šajā dzinējā tas kļūst par jūsu intelektuālo īpašumu. phpBB autori uzrakstīja mehānismu, forumu izveides rīku, nevis gatavu produktu. Šajā gadījumā, ja noņemsit autortiesību paziņojumu foruma kājenē, tas nebūs autortiesību pārkāpums. No otras puses, ja jūs atstājat šo uzrakstu, tas būs pateicības un atbalsta zīme izstrādātājiem, kas noteikti ir labi!
Tātad, ja jūs nolemjat atbrīvoties no šī uzraksta, vispirms ir jānoskaidro, kur atrodas parametrs, kas ir atbildīgs par autortiesību informācijas parādīšanu. Lai to izdarītu, mums ir jāatver jebkura foruma lapa, kurā forums ir redzams kādā no pārlūkprogrammām, kas atbalsta lapas koda skatīšanas funkciju (Opera, Google Chrome, Firefox utt.), un ar peles labo pogu noklikšķiniet uz paša uzraksta un nolaižamajā izvēlnē atlasiet opciju, lai skatītu kodu (Pārbaudīt elementu).
Pēc koda inspektora atvēršanas mēs redzam, ka mūs interesējošo bloku sauc par “autortiesībām”. Tieši tur ir jāveic izmaiņas, lai rediģētu, paslēptu vai dzēstu informāciju. 
Otrais solis ir atrast failu, kurā ir “autortiesību” bloks. Tā kā mēs nezinām faila nosaukumu, manuāla meklēšana prasīs ļoti ilgu laiku. Tāpēc izmantosim ērtu funkciju - meklēšana pēc satura, kas ir pieejama manā iecienītākajā failu pārvaldniekā - Total Commander, turpmāk tekstā TC (ir arī citi veidi, kā meklēt pēc satura, taču tie šajā rakstā netiks apskatīti) . Failu pārvaldniekā atveriet mapi, kurā ir instalēts forums jūsu resursdatora lokālajā serverī vai FTP serverī. Lai atvieglotu meklēšanu, mēs nekavējoties atvērsim mapi, kurā tiek glabāti noklusējuma stila faili. Pēc tam izvēlnē “Komandas” atlasiet meklēt failus vai vienkārši nospiediet Alt + F7. Parādītajā meklēšanas logā mēs ignorējam lauku “Meklēt failus”, jo faila nosaukums mums nav zināms. Laukā “Meklēt atrašanās vieta” ir jānorāda ceļš uz mapi ar instalēto foruma dzinēju; pēc noklusējuma transportlīdzeklis izvēlas ceļu automātiski, ja meklēšanas logs tika izsaukts no aktīvās daļas, kurā skatāties mapju saturu. Pēc tam atzīmējiet atzīmi blakus laukam “Ar tekstu” un meklēšanas joslā ievadiet “autortiesības”, pēc tam mēs drosmīgi noklikšķiniet uz pogas “ Sākt meklēšanu” un gaidām, līdz tiks parādīti rezultāti. 
Meklējot mums tika iegūti vairāki faili, teorētiski tiem vajadzētu būt 5, kuros minēts autortiesību bloka nosaukums. No visiem izvades failiem mēs skaidri redzam, ka mūs interesē fails ar nosaukumu “overall_footer.html”, jo bloks atrodas lapas kājenē, un vārds “vispārīgi” norāda, ka šajā failā tiek saglabāti globālie iestatījumi, tas ir, visu forumu. Tagad mums ir 2 iespējas, kā rediģēt vajadzīgo failu - izmantojot iebūvēto phpBB veidņu redaktoru vai trešās puses redaktoru. Vispirms mēs apskatīsim rediģēšanas opciju, izmantojot vietējo phpBB saskarni.
Mums jādodas uz "Administrācijas centru" un dodieties uz cilni "Stili". Stila pārvaldības sadaļā mēs skatāmies, kurš stils ir instalēts pēc noklusējuma, to norāda ar zvaigznīti aiz stila nosaukuma. Piemērā ir instalēts tikai viens pamata stils - prosilve, taču jums var būt vairāki no tiem.
Pēc tam stila komponentu pārvaldības sadaļā mēs pārejam uz apakšsadaļu "Veidnes" un blakus aktīvajam motīvam atlasiet vienumu "Rediģēt". 
Tagad mums no nolaižamā saraksta jāatlasa mūs interesējošais fails ar nosaukumu “overall_footer.html”. 
Parādītajā rediģēšanas apgabalā mēs ejam līdz pašai lapas apakšai un atrodam rindiņu:
pēc tam mēs noņemam šādu kodu:
(CREDIT_LINE) (TRANSLATION_INFO) (DEBUG_OUTPUT)
Galu galā jūsu kodam vajadzētu izskatīties šādi: 
Tagad nospiežam pogu “Sūtīt” un voila, esam sasnieguši vēlamo rezultātu – autortiesību paziņojuma vairs nav.
Pāriesim pie alternatīva veida, lai sasniegtu to pašu rezultātu: kad mums jau ir vajadzīgā faila nosaukums, mēs pārejam uz motīva mapi “veidne”, kas ir aktivizēta pēc noklusējuma, un meklējam to pašu failu ar nosaukumu “overall_footer.html ". 
Pēc tam ar peles labo pogu noklikšķiniet uz faila un nolaižamajā izvēlnē atlasiet “Atvērt ar” un atlasiet savu iecienītāko koda redaktoru, manā gadījumā tas ir Blumentals WeBuilder 2011. Pēc tam, tāpat kā vietējā phpBB veidņu redaktora gadījumā. , izdzēsiet iepriekš norādīto kodu un saglabājiet izmaiņas. Programmai ir arī ļoti ērts iebūvēts FTP klients, kas ļauj rediģēt un saglabāt attālā servera failu izmaiņas. 
Gatavs! Ja veicāt visas iepriekš minētās darbības, jums vajadzētu būt iespējai noņemt uzrakstu. Apsveicam!
Tātad, dārgais draugs, kaut kādu iemeslu dēļ jūs savā vietnē instalējāt PhpBB.
Varbūt tāpēc, ka neesat lasījis žurnālu ][, vai varbūt tāpēc, ka jums patīk šis dzinējs. Tomēr iespēja, ka jūs netiksiet uzlauzta, ir minimāla. Bērnu armijas pārlūko internetu, meklējot savu nākamo upuri. Kā pasargāt sevi no primitīva
foruma uzlaušana? Es mēģināšu jums sniegt dažas idejas. Lielāko daļu no tiem varat izmantot citos skriptos.
Atjaunināt
Tas ir pēc noklusējuma. Forums ir jāatjaunina. Un tas, ka jums ir 5/10/15 (atbilstoši pasvītrot) modifikācijas nav attaisnojums. Vienkārši šajā gadījumā jums vajadzētu izmantot “koda izmaiņas”, kuras foruma izstrādātāji rūpīgi izstrādājuši to pašu modifikāciju veidā. Iesaku arī abonēt biļetenu par jaunajām foruma versijām. Tomēr jūs nevarat izsekot visam un esat pārāk slinks
gadās, vai ne? Tāpēc es jums piedāvāju vairākus pasīvus foruma aizsardzības veidus.
Slēpšanas versija
Nesen parādījās PhpBB un ir lielisks palīgs pret Google hakeriem. Un, ja jūs joprojām neatjaunināsit forumu, es domāju, ka jums nebūs grūti labot simple_footer.tpl un overall_footer.tpl failus. Tomēr jūs varat iet tālāk un uzrakstīt ļauno frāzi "Powered by PhpBB", izmantojot javascript
Ja lietotājs ir atspējojis javascript, ir maz zaudējumu, lai gan frāzi nevajadzētu pilnībā noņemt, pamatojoties tikai uz morāles principiem. Vai arī varat par to pasmieties, uzrakstot “PhpBB 2.0.6”. Kad hakeris, uzlauzis tevi, uzzinās īsto versiju, tad aiz dusmām viņš tev nometīs visu datubāzi 😉 Vari arī uzrakstīt “Php BB”... Nav gluži godīgi, bet darbojas!
Pielāgots stils
Tas ne tikai izdaiļos jūsu forumu, bet arī nedaudz palielinās aizsardzību pret ļaunprātīgu izmantošanu, kas izņem informāciju no HTML lapas. Un tad standarta stils rada sajūtu, ka admins forumu vai nu ir pametis novārtā, vai klibo.
Tabulas prefikss
Kāpēc gan tur neielikt kaut ko savu, piemēram, "ExBB". Starp citu, to var izdarīt pēc instalēšanas, rediģējot config.php un pārdēvējot tabulas.
Datu bāzes modifikācija
Uzticams veids, kā aizsargāties pret SQL injekcijas savienības uzbrukumiem, ir datu bāzes maiņa. Pievienojiet tabulām papildu tukšus laukus, izejiet cauri kodam, un primitīvas (!) darbības neizdosies lauku skaita neatbilstības dēļ. Vai arī cits veids: pārdēvējiet lauku user_password uz blahblahblah un labojiet avotus (šo procesu var viegli automatizēt). Tas arī viss, tagad, mēģinot iegūt administratora paroles jaucējkodu, exploit būs pārsteigums :) Un ne tikai exploit.
Slēpts config.php
Tas atvieglos jūsu dzīvi, ja hakeris varēs lasīt failus serverī, pateicoties iekļautajai kļūdai. Protams, šajā gadījumā faila saturs viņam tik un tā maz noderēs, ja vien visam neieliksi vienādas piespēles.
Parasta parole
Lai arī cik banāli tas nešķistu, parolei jābūt šādā formātā: Sdh66rH904hG — tas ir vienīgais veids, kā jums nebūs jāuztraucas par jaucējkoda uzlaušanu. Jūs to saglabāsit programmā Password Commander. Nu, sakiet, cik bieži jums tas būs jāievieš? Tagad, ja hash ir nozagts, tad tas būs mazāk noderīgs.
Atspējot meklēšanu
Un tas nekaitētu. Tas darbojas šausmīgi buggy, ēd neticami daudz vietas datu bāzē un šausmīgi samazina veiktspēju. Un tad tas ir kļūdu avots, tas pats izceļ. Diemžēl to nevar izdarīt, izmantojot standarta līdzekļus, bet ne velti jūs lasāt ][? Noņemiet ar to saistītos failus, nometiet tabulas un notīriet izejmateriālus un tēmas. Rezultāts ir paaugstināta produktivitāte un drošība. Ja esat pārāk slinks, lai to izdomātu, es jums sniegšu padomu: izslēdziet izsaukumus uz funkcijām, kas atrodas vietnē functions_search.php. Protams, izņemot pēdējo. Padomājiet par to, kurus galdus nomest... Man nebija nekādu problēmu.
Viltus administrators
Paslēpiet īsto administratora paneli un viltus panelī izdzēsiet visus datubāzes vaicājumus, piemēram, INSERT, UPDATE utt. Vēl labāk, tā vietā, lai tos izpildītu, reģistrējiet tos failā kopā ar IP un citiem noderīgiem datiem. Vai varat iedomāties, cik lēns būs hakeris, kad viņa veiktās izmaiņas netiks piemērotas? Tikai meduspodiņš, nevis forums!
Jaukšanas algoritma maiņa
Parasti noderīga tehnika. Mainiet visus ar jaukšanu saistītos funkciju izsaukumus uz savējiem, kas pēc standarta izsaukšanas nedaudz modificē jaucēju. Piemēram, ac45e53bc8dc478e-> ac45e53bc8da478e.
Hakerim diez vai būs aizdomas par viltību... Turklāt, skatoties uz šiem diviem hashiem, viņš uzreiz nepamanīs atšķirību...
Nu, kāpēc šī savienība tika izgudrota, tā ienesa tik daudz caurumu.... Tātad atveriet iekļaušanu darbam ar datu bāzi un pievienojiet vaicājumu filtrēšanu ar UNION!
Secinājums
Jo vairāk failu, tabulu un lauku pārdēvējat, jo
- Haksoram būs grūtāk
- Jums būs grūtāk atjaunināt forumu
- Tu pieļausi vairāk kļūdu
Tāpēc apzinieties savas robežas un neesiet paranoisks. Izpildot visus šos trikus, tu nobiedēsi/apturēsi gan Kidiju, gan Haksoru, ja vien pēdējam nebūs konkrēts mērķis tevi uzlauzt. Lai gan tabulas lauku pārdēvēšana nodrošina gandrīz necaurlaidīgu aizsardzību pret SQL injekciju, jo hacksor priekšā nebūs šķirošanas.
Nu, sāksim sniegt nelielus padomus par vietņu (forumu) optimizēšanu un reklamēšanu phpBB. Šajā gadījumā mēs veiksim nelielu uzlaušanu, kas palīdzēs atbrīvoties no ārējās saites, piemēram, "Powered by phpBB © ...". Šajā publikācijā mēs apskatīsim 2 veidus, kā to izdarīt - paņēmienu priekš phpBB 3.x.x.
Ārējās saites noņemšana Nodrošina phpBB © 2000, 2002, 2005, 2007 phpBB grupa un krievu phpBB atbalstsPirmais veids, kā noņemt ārēju saiti, kurā ir rakstīts Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Un tā, vienkāršākais veids ir dzēst, izmantojot administratora paneli. Mēs ejam uz administratīvo paneli, dodieties uz izvēlnes vienumu “Stili”, kreisajā pusē redzam paneli, kurā atrodas bloks izvēlnē, mūs interesē bloks “Stila komponenti” un tajā “Veidnes”. Saskaņā ar standartu piedāvātajā logā mēs redzēsim sekojošo: prosilver un subsilver2, lai gan varētu būt arī citi, ja jūs tos instalējat. Vispār ne par to ir runa. No piedāvātās kopas atlasiet noklusējuma komplektu. Noklikšķiniet uz pogas "rediģēt", kas atrodas blakus veidnei. Pēc tam tiek parādīts logs, kurā tiek prasīts “Atlasīt veidnes failu”. Pēc tam atlasiet “Veidnes fails” - “overall_footer.html”. HTML redaktors tiek parādīts zemāk. Mēs atrodam šādu kodu: “Powered by phpBB 2000, 2002, 2005, 2007 phpBB Group” un vienkārši izdzēšam to, lai gan jūs varat iestatīt savu saiti un parakstu. "
(TRANSLATION_INFO) " (kas atrodas zemāk, var arī dzēst) - šis kods ir atbildīgs par lokalizāciju, piemēram, ārējā saite ar uzrakstu "Krievijas phpBB atbalsts".
Otrs veids, kā noņemt ārēju saiti ar uzrakstu Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Šī metode ir līdzīga, taču mēs izveidojam savienojumu ar vietni, izmantojot Pratacol ftp. Dodieties uz šo ceļu styles/template_name/template/overall_footer.html. Un mēs rediģējam to pašu kodu, ko rediģējām iepriekš. Ja maināt kodu, neaizmirstiet iestatīt UTF kodējumu - šādā veidā enkuru vietā var parādīties “krekeri” (kvadrāti un citi nesaprotami simboli).
