Skocz do zawartości
"Idzie nowe..." - o zmianach i nie tylko ×
Przeniesienie zakupów z IPS Marketplace / Moving bought items from IPS Marketplace ×

Drobna luka w zabezpieczeniu katalogu admin


Rekomendowane odpowiedzi

Opublikowano

Witam!

Na forum w ACP mamy taką opcję:

Zmień Nazwę Katalogu Admina

Domyślnie katalog 'admin' może być zmieniony na dowolnie inną nazwę.

Po uruchomieniu tej opcji w katalogu admin tworzony jest plik o nazwie: kiddies_log.dat, w którym logowane są wszystkie nieautoryzowane próby wejścia do ACP poprzez: http://twojeforum/admin/

Przykładowa zawartość tego pliku:

test : test : 89.18.246.189

Opera/9.62 (Windows NT 5.1; U; pl) Presto/2.1.1

I tu pojawia się problem, którego skutki sam poznałem. Otóż, któregoś dnia zapomniałem się i zamiast logować się do ACP z użyciem sekretnej nazwy dla katalogu admin, skorzystałem ze ścieżki: http://twojeforum/admin/

Podałem swoje hasło i login, które pięknie zostały zapisane do pliku:kiddies_log.dat

Jeszcze większe zdziwienie miałem gdy po wpisaniu: http://twojeforum/admin/kiddies_log.dat, została wyświetlona zawartość tego pliku, włącznie z moim loginem i hasłem.

Dlatego, po użyciu zmiany nazwy katalogu admin pamiętajcie by dla pliku kiddies_log.dat zmienić prawa dostępu na 622

Dzięki tej zmianie, każde logowanie będzie zapisywane, ale nie będzie można w przeglądarce wyświetlić zawartości tego pliku.

46279b204b.png

Rozwiążemy dla Ciebie każde zadanie z matematyki: http://matma4u.pl

  • 4 miesiące temu...
  • Manager
Opublikowano

Juz chyba nieaktualne w wersji 2.3.* 3.* ?

Nie czytasz ze zrozumieniem. To dotyczy pewnego zabezpieczenia na panel admina, a w tym temacie jest omawiany problem z tym związany i sposób zabezpieczenia.

intermedia - profesjonalne rozwiązania Invision Power Board

---

Chcesz uzyskać szybko i sprawnie pomoc? Uzupełnij wersję i adres w profilu.

Opublikowano

hmm nie za bardzo obczajam, o co chodzi.... Poniweaż nie miałem okazji zobaczyć takiego pliku... może zabezpieczenia wprowadziłem na tyle dobre :D Mimo wszystko dzięki za zwrócenie uwagi, trzeba mieć takie rzeczy na celowniku.

  • Manager
Opublikowano

hmm nie za bardzo obczajam, o co chodzi.... Poniweaż nie miałem okazji zobaczyć takiego pliku... może zabezpieczenia wprowadziłem na tyle dobre :D Mimo wszystko dzięki za zwrócenie uwagi, trzeba mieć takie rzeczy na celowniku.

Lub po prostu nie robiłeś fałszywego panelu admina pod admin/ :D

intermedia - profesjonalne rozwiązania Invision Power Board

---

Chcesz uzyskać szybko i sprawnie pomoc? Uzupełnij wersję i adres w profilu.

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.