Реклама на сайте Advertise with us

Как защитить admin.php

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 16.06.12
Сообщения: 8470
Рейтинг: 313

Ссылка на сообщениеДобавлено: 08/01/16 в 16:50       Ответить с цитатойцитата 

Есть трейд скрипт, злоумышленник постит трейдера в виде JS утягивающего куки, далее когда овнер заходит в админку, злоумышленник перехватывая куки, сам заходит в admin.php и заливает шелл. Можно конечно права на темплейты ставить, только чтение, но это крайний выход.
Вопрос, как защитить admin.php - допилить самому нереал, файл под ioncube.
Если бы была папка /admin/ можно было бы закрыть htpasswd или .htaccess по IP.
А как быть с файлом admin.php.

2
 



С нами с 24.10.04
Сообщения: 18881
Рейтинг: 9010


Передовик Master-X (16.03.2006) Передовик Master-X (01.04.2006) Передовик Master-X (16.04.2006) Передовик Master-X (01.05.2006) Передовик Master-X (01.11.2006) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 08/01/16 в 16:56       Ответить с цитатойцитата 

htaccess позволяет закрыть один файл admin.php по IP

5
 

Z

С нами с 15.05.05
Сообщения: 55173
Рейтинг: 7770


Передовик Master-X (16.10.2007) Передовик Master-X (16.12.2010) Передовик Master-X (01.02.2015) Передовик Master-X (16.05.2015) Передовик Master-X (01.06.2015) Ветеран трепа Master-X (16.06.2015)
Ссылка на сообщениеДобавлено: 08/01/16 в 17:00       Ответить с цитатойцитата 

Код: [развернуть]

andreich дарит вам акцию до 1 000р
КАТАЛОГ ПАРТНЕРОК | Бурж Гембла – тут! | RU Датинг на подписках

5
 



С нами с 16.06.12
Сообщения: 8470
Рейтинг: 313

Ссылка на сообщениеДобавлено: 08/01/16 в 17:02       Ответить с цитатойцитата 

всем спасибо за решение smail04.gif

2
 

www.phpdevs.com

С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105


Передовик Master-X (01.09.2005) Передовик Master-X (16.09.2005) Передовик Master-X (01.10.2005) Передовик Master-X (16.08.2006) Передовик Master-X (16.10.2006) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 08/01/16 в 18:03       Ответить с цитатойцитата 

Int13h писал:
злоумышленник постит трейдера в виде JS утягивающего куки, далее когда овнер заходит в админку, злоумышленник перехватывая куки, сам заходит в admin.php и заливает шелл.

в смысле постит трейдера перехватывающего куки ?

Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.

3
 



С нами с 21.09.02
Сообщения: 2347
Рейтинг: 1383

Ссылка на сообщениеДобавлено: 08/01/16 в 18:32       Ответить с цитатойцитата 

да видимо просто данные, которые может постить кто-угодно, даже не обрамляются в какой-нибудь htmlspecialchars()
и видимо отправляется например в качестве имени трейдера что-то типа <script></script> в котором берутся куки и отправляются на домен злоумышленника.
дальше владелец с админки заходит в список трейдеров и у него исполняется эта ява.
потом злодей, получив куки владельца, в своем браузере подставляет их и заходит в admin.php как будто он авторизован.

а вот этот пост новых трейдеров также происходит через зашифрованное в ioncube что-то?

как вариант еще соорудить дополнительный скрипт, который будет проходиться по всем данным в базе с трейдерами и удалять к примеру все что не цифра и не буква.

2
 



С нами с 16.06.12
Сообщения: 8470
Рейтинг: 313

Ссылка на сообщениеДобавлено: 08/01/16 в 18:49       Ответить с цитатойцитата 

Stek: -
обходит фильтр входящих данных, а именно (мыло трейдера), не проверяет скрипт. Через webmasters.php. в результате, злоумышленник постит JS, который эксплуатирует XSS уязвимость. При заходе овнера в админку, выполняется JS, передающих cookies, снифятся, используя их злоумышленник проникает в админку.
Что то подобное. http://habrahabr.ru/post/129173/

EvGenius - нет, просто если не ioncube, можно было бы webmasters.php допилить проверку входящих данных, да и admin.php можно было через $_SERVER['REMOTE_ADDR'] блокировать.

Но уже посоветовали метод защиты админки icon_wink.gif

3
 

😈😈😈

С нами с 17.08.05
Сообщения: 3966
Рейтинг: 5534


Передовик Master-X (16.11.2015) Передовик Master-X (01.07.2016) Передовик Master-X (16.07.2016) Передовик Master-X (01.08.2016)
Ссылка на сообщениеДобавлено: 08/01/16 в 19:46       Ответить с цитатойцитата 

а что за скрипт? может проще разработчику скинуть, чтоб пофиксил icon_rolleyes.gif

2
 



С нами с 11.10.12
Сообщения: 428
Рейтинг: 1032


Передовик Master-X (16.11.2012)
Ссылка на сообщениеДобавлено: 08/01/16 в 23:05       Ответить с цитатойцитата 

Закрытие входа в админку не решает проблему полностью, т.к. враги могут и дальше постить трейдеров и запускать в браузере админа произвольный js, когда он будет заходить на admin.php.

apache, bash, css, elasticsearch, ffmpeg, html, js, mysql, mongo, nginx, php; *nix only

2
 

www.phpdevs.com

С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105


Передовик Master-X (01.09.2005) Передовик Master-X (16.09.2005) Передовик Master-X (01.10.2005) Передовик Master-X (16.08.2006) Передовик Master-X (16.10.2006) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 08/01/16 в 23:10       Ответить с цитатойцитата 

Как вариант обернуть добавления трейдеров в обертку другого скрипта.
Т.е. что то вроде:

Код:
<?php
// чистим $_POST $_GET массивы, удаляя оттуда весь мусор
include('old_sad_dtrader.php');

Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.

6
 
+ + +


С нами с 21.08.15
Сообщения: 779
Рейтинг: 76

Ссылка на сообщениеДобавлено: 09/01/16 в 00:12       Ответить с цитатойцитата 

нужно зафильтровать спецсимволы в переменной поля с мылом
htmlspecialchars
но я помню там был какой то подвох и нужно долго копать чтоб правильно без косяков фильтровать формы.
вообще ограничение по ип верный способ! smail101.gif

1
 



С нами с 14.10.02
Сообщения: 462
Рейтинг: 727

Ссылка на сообщениеДобавлено: 09/01/16 в 01:38       Ответить с цитатойцитата 

Может в htacсess попробовать запихнуть следующее

Код: [развернуть]

2
 



С нами с 16.06.12
Сообщения: 8470
Рейтинг: 313

Ссылка на сообщениеДобавлено: 09/01/16 в 01:41       Ответить с цитатойцитата 

Stek: - интересный изящный метод smail54.gif данные с формы post action -> $PHP_SELF , начало кода фильтрует POST данные, далее отрабатывает заинклуженный дырявый скрипт, отправляет "чистые" данные в трейд базу, выводит трейд линк. И тут даже при удалённом POST запросе, не получится запихнуть, не зная новое имя обработчика формы с уязвимостью.

Diablo - GB продукты http://www.gbscript.com/ , да древние, уже не поддерживаются, но "боевые" скрипты, тот же GB TOP, уступает только DF Pro,если не брать тот же смарт и тп современные CJ скрипты в роли Топа.

3
 



С нами с 11.10.12
Сообщения: 428
Рейтинг: 1032


Передовик Master-X (16.11.2012)
Ссылка на сообщениеДобавлено: 09/01/16 в 03:17       Ответить с цитатойцитата 

Stek писал:

Как вариант обернуть добавления трейдеров в обертку другого скрипта.
Т.е. что то вроде:

Код:
<?php
// чистим $_POST $_GET массивы, удаляя оттуда весь мусор
include('old_sad_dtrader.php');



Это и имел в виду. Только старый файл нужно не просто переименовывать, а закрывать полностью.

new.php
Код:

<?php
define('__INNER_CALL__', 1);
//удаляем мусор из $_GET, $_POST ...
require('old.php');


old.php
Код:

<?php
if (!defined('__INNER_CALL__')) exit;
//дальше старый код без изменений

apache, bash, css, elasticsearch, ffmpeg, html, js, mysql, mongo, nginx, php; *nix only

6
 



С нами с 20.02.06
Сообщения: 248
Рейтинг: 366

Ссылка на сообщениеДобавлено: 09/01/16 в 04:21       Ответить с цитатойцитата 

Вообще конечно это косяк автора скрипта. Надо экранировать данные для вывода, а для сессий делать проверку по IP и ставить HTTP-only куки

2
 



С нами с 28.02.12
Сообщения: 1494
Рейтинг: 234

Ссылка на сообщениеДобавлено: 11/01/16 в 21:35       Ответить с цитатойцитата 

Stek писал:
Как вариант обернуть добавления трейдеров в обертку другого скрипта.
Т.е. что то вроде:

Код:
<?php
// чистим $_POST $_GET массивы, удаляя оттуда весь мусор
include('old_sad_dtrader.php');


webmasters.php проверяет там имя скрипта и если оно old_sad_dtrader.php не работает.

я закрывал webmasters.php в htacces для всех айпи кроме сервера и делал свою форму трейда которая проверяет входящие данные и потом курлом добавляет трейдера в старую форму

1
 

www.phpdevs.com

С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105


Передовик Master-X (01.09.2005) Передовик Master-X (16.09.2005) Передовик Master-X (01.10.2005) Передовик Master-X (16.08.2006) Передовик Master-X (16.10.2006) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 11/01/16 в 22:11       Ответить с цитатойцитата 

Что же это за скрипт такой, где не озабитились проверить входящие данные, но зато параноят на "а вдруг меня спиздят".

Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.

1
 



С нами с 17.03.12
Сообщения: 335
Рейтинг: 790

Ссылка на сообщениеДобавлено: 12/01/16 в 00:42       Ответить с цитатойцитата 

Чуть вшые писали что это GB продукты http://www.gbscript.com/

1
 



С нами с 15.06.10
Сообщения: 1722
Рейтинг: 52

Ссылка на сообщениеДобавлено: 23/01/16 в 01:36       Ответить с цитатойцитата 

переименуй admin.php в admin_huy_vam_dostup.php
smail101.gif

1
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »