Покинул форум
Сообщений всего: 243
Дата рег-ции: Авг. 2012
Помог: 0 раз(а)
[+][+]
Есть ли у кого хороший скрипт защиты админки на сайте, ну или рабочие идеи?
----- Не следует бояться зайти за пределы того, что считается возможным – ибо именно там находится успех.
Tyoma5891
Отправлено: 17 Сентября, 2014 - 09:21:54
Частый посетитель
Покинул форум
Сообщений всего: 621
Дата рег-ции: Авг. 2013
Помог: 5 раз(а)
livote пишет:
Есть ли у кого хороший скрипт защиты админки на сайте, ну или рабочие идеи?
Вам староиндийская подойдет или может быть Каро-Канн?
nkl
Отправлено: 17 Сентября, 2014 - 09:52:19
Посетитель
Покинул форум
Сообщений всего: 305
Дата рег-ции: Янв. 2012
Помог: 1 раз(а)
livote пишет:
Есть ли у кого хороший скрипт защиты админки на сайте, ну или рабочие идеи?
Я применяю 2 уровня, сначала урл админки защищаю при помощи basic http authentication, а потом уже и сам скрипт просит авторизоваться.
dcc0
Отправлено: 17 Сентября, 2014 - 10:32:37
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Если нет разграничения прав, т.е. админ один, то:
защита средствами сервера всей директории - htpasswd. для Apache надо настраивать указанный файл и htaccess. Для Lighttpd тоже есть, но чуток по другому. + Ограничение доступа по ip.
Покинул форум
Сообщений всего: 1033
Дата рег-ции: Май 2012
Помог: 30 раз(а)
И вы это считаете нормальной защитой? И как вы предлагаете ее защищать от брута? И вообще как можно найти "Скрипт" который вставил в другой скрипт и БАЦ защита появилась... Самая лучшая защита скрипта - это нормальное написание этого же скрипта, а не внедрение непонятно чего... Пишите правильные запросы в БД, фильтруйте данные приходящие из вне, используйте сложные пароли и будет вам счастье...
dcc0
Отправлено: 17 Сентября, 2014 - 10:41:27
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Да, при правильной организации - это нормальная защита.
Если не нравится, делаем вход в директорию админа только с 127.0.0.1 и ходим по ssh =).
Покинул форум
Сообщений всего: 1033
Дата рег-ции: Май 2012
Помог: 30 раз(а)
Тоесть сайт может быть дырявый, но на админке стоит http authentification и это нормально? И пофигу что шелл закинуть могут и ваша http authentification до одного места будет. Да и проверка по ip тоже не самое надежное дело. С каки пор можно доверять пришедшему ip адресу?
Мелкий
Отправлено: 17 Сентября, 2014 - 10:58:49
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
RickMan пишет:
С каки пор можно доверять пришедшему ip адресу?
Потому что подделать его в рамках TCP-соединения невозможно. Вы без проблем можете отправить сколько угодно SYN с чужими IP, но ASK вы не получите. Без ASK не будет соединения, без соединения ничего нельзя сделать на более высоких уровнях OSI.
----- PostgreSQL DBA
RickMan
Отправлено: 17 Сентября, 2014 - 11:12:15
Участник
Покинул форум
Сообщений всего: 1033
Дата рег-ции: Май 2012
Помог: 30 раз(а)
Ну ок... толку с этой авторизации если сайт дырявый и я смогу спокойно загрузить шелл или sql-inj... Поможет эта авторизация?
dcc0
Отправлено: 17 Сентября, 2014 - 11:19:06
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Если сайт не в чужом дата-центре (что я вообще не рассматриваю), сайт на отдельном железе, перед ним управляемый маршрутизатор с настроенными руками iptables и соответствующими ограничениями. Собственно, если вход в админку из локальной сети, то защиты с ограничением по ip и htpasswd достаточно более чем, особенно если вход разрешен только с локальных ip.
Нужен доступ к сайту из вне? Есть ssh, vpn. Можно организовать вход на машину десятками разных способов. Конечно, и к ssh2 можно пару месяцев сидеть и подбирать пароль. Т.е. все равно страшно? Делаете запуск sshd вначале рабочего дня по крону, к концу рабочего дня отключаете. Опять ночные кошмары? Меняете пароль раз в неделю.
Вопрос только в том, если на сервере *nix (иное не рассматриваю), для управления сайтом понадобится xserver и DE, но слава богу есть легковесные менеджеры, то же xfce desktop легко настривается, подгружается/выгружается по необходимости, чтобы не отъедать ресурсы.
Как уже тут на форуме хорошо сказали: "А можно проще? Можно... но зачем нам такие сложности?".
P.S. "Открытые" системы при правильном подходе к защите вообще не нуждаются в дополнительных скриптах, изначально ориентация на конфигурацию системы для работы в сети. Неважно, что на нем крутится, сайт, почтовый сервер или еще что-то.
P.P.S. Любые разговоры о безопасности могут быть только в рамках конкретной системы, с оценкой назначения, масштабов убытков в случае взлома и т.д.
Покинул форум
Сообщений всего: 2083
Дата рег-ции: Март 2012 Откуда: Воронеж
Помог: 50 раз(а)
Чувак просит скрипт ему дать, а вы что, а вы не даёте ему скрипт. Никакого праздника, все реалии парню испортили. Ну и что, что вы ему советы даёте, это всё ничто по сравнению с готовым скриптом: вставил куда надо и вуаля, всё работает. Вы право слово нелюди, так огорчать человека.
dcc0
Отправлено: 17 Сентября, 2014 - 16:40:33
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Средства встроенные в вебсервер, чем ни готовое решение?
----- Март 2021. Бросил программирование
CoolKid
Отправлено: 17 Сентября, 2014 - 23:55:13
Новичок
Покинул форум
Сообщений всего: 2
Дата рег-ции: Июль 2014
Помог: 0 раз(а)
1. Поместить админку в папку с названием, которое невозможно подобрать например "!__admin_panel__!"
2. создать .htaccess со списком айпи, с которых разрешён доступ в админку
В большинстве случаев этого достаточно.
esterio
Отправлено: 18 Сентября, 2014 - 18:04:57
Активный участник
Покинул форум
Сообщений всего: 5025
Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов
Помог: 127 раз(а)
CoolKid
заказчик со своими админами сидят на динамическом IP не учтено
вместо apache2 стоит nginx с php_su также ен сработает
поетому не рекомендовал бы такое
dcc0
HTTP авторизация может біть отелючена в сервера (встречал такой хостинг лично). плюс если подключение не SSL, то логин и пароль каждый раз бегают в заголовках запроса в откритом виде и их легко перехватить
RickMan
вопрос задан о защите админкы, а не о шелле или XSS. это уже второй вопрос
dcc0
Отправлено: 18 Сентября, 2014 - 21:57:21
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
esterio если речь о стороннем хостинге, то вообще спору нету. Но чаще эта опция все же имеется.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.