Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Безопасность админки

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Безопасность админки

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (2): [1] 2 »

Без описания

Поиск в теме | Версия для печати

cooperok	Отправлено: 24 Мая, 2012 - 21:31:04
Частый гость Покинул форум Сообщений всего: 137 Дата рег-ции: Сент. 2011 Откуда: Los Angeles, California Помог: 0 раз(а)	Всем привет, вот уже сайт почти доделал, защита диплома 12 июня, Вот хотелось бы узнать как обезопасить от взлома админки, у меня вход простой тоесть если в $_SESSION['login'] записано что то то вход в админку открыт. Пойдет ли такая авторизация? или это можно взломать? Или лучще сделать что б постоянно при переходе с одной страницы админки на другую что б всегда была проверка из $_SESSION['login'] и $_SESSION['password'] сверка с БД? ----- This forum is vulnerable. I want to replace forum engine. (c) OrmaJever

Мелкий	Отправлено: 24 Мая, 2012 - 21:39:26
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Если вам могут извне менять сессию - о коде вы будете думать в последнюю очередь, т.к. враг уже внутри. Сессию можно считать доверительным местом. Что вы сами туда записали - то и прочитаете. ----- PostgreSQL DBA

cooperok	Отправлено: 24 Мая, 2012 - 21:59:20
Частый гость Покинул форум Сообщений всего: 137 Дата рег-ции: Сент. 2011 Откуда: Los Angeles, California Помог: 0 раз(а)	Мелкий Я не особо разбераюсь в php изменить же не смогут из Вне? только если будет доступ к хостингу и ФТП? ----- This forum is vulnerable. I want to replace forum engine. (c) OrmaJever

GEN_18	Отправлено: 25 Мая, 2012 - 11:42:52
Частый гость Покинул форум Сообщений всего: 184 Дата рег-ции: Янв. 2012 Помог: 0 раз(а)	cooperok можно подменить значение и без доступа к фтп, нужно всего лишь правильно провести инъекцию. если я не ошибаюсь, то из Вне, можно присвоить твоему $_SESSION['login'] через любую функцию, и вот тебе доступ открыт. лучше сделай проверку введенных данных с базой, и используй md5 для надежности. ----- Еще вечера сегодня было завтра.

DeepVarvar	Отправлено: 25 Мая, 2012 - 12:04:03
Активный участник Покинул форум Сообщений всего: 10377 Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра Помог: 353 раз(а)	GEN_18 пишет: то из Вне, можно присвоить твоему $_SESSION['login'] через любую функцию, и вот тебе доступ открыт. Пример в студию. ----- Шта? Репозиторий?

cooperok	Отправлено: 25 Мая, 2012 - 12:09:33
Частый гость Покинул форум Сообщений всего: 137 Дата рег-ции: Сент. 2011 Откуда: Los Angeles, California Помог: 0 раз(а)	GEN_18Хорошо спс, сейчас изменю. ----- This forum is vulnerable. I want to replace forum engine. (c) OrmaJever

GEN_18	Отправлено: 25 Мая, 2012 - 13:50:24
Частый гость Покинул форум Сообщений всего: 184 Дата рег-ции: Янв. 2012 Помог: 0 раз(а)	DeepVarvar я говорил что это всего лишь догадки.... но знаю, что для ФФ есть плагин как HTTPFox а в хроме просто так ты можешь менять данные сессии ctrl +shift + i закладка ресурсы ----- Еще вечера сегодня было завтра.

avtor.fox	Отправлено: 25 Мая, 2012 - 14:10:31
Постоянный участник Покинул форум Сообщений всего: 2083 Дата рег-ции: Март 2012 Откуда: Воронеж Помог: 50 раз(а)	GEN_18, вытащить сессии с сервера нереально.

DeepVarvar	Отправлено: 25 Мая, 2012 - 14:15:01
Активный участник Покинул форум Сообщений всего: 10377 Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра Помог: 353 раз(а)	GEN_18 пишет: а в хроме просто так ты можешь менять данные сессии В браузере хранится только токен сессии, а сами данные хранятся на сервере. Что ты там менять станешь? Ну поменяешь - и он станет не валидным. Что дальше? ----- Шта? Репозиторий?

GEN_18	Отправлено: 25 Мая, 2012 - 16:28:46
Частый гость Покинул форум Сообщений всего: 184 Дата рег-ции: Янв. 2012 Помог: 0 раз(а)	DeepVarvar пишет: Ну поменяешь - и он станет не валидным. но у него же данные сессии нигде не проверяются ----- Еще вечера сегодня было завтра.

Мелкий	Отправлено: 25 Мая, 2012 - 16:33:18
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	GEN_18 пишет: но у него же данные сессии нигде не проверяются cooperok пишет: если в $_SESSION['login'] записано что то то вход в админку открыт. Если сменить идентификатор сессии - ничего в $_SESSION не будет. ----- PostgreSQL DBA

tato	Отправлено: 25 Мая, 2012 - 17:49:38
Посетитель Покинул форум Сообщений всего: 468 Дата рег-ции: Сент. 2011 Откуда: Владивосток Помог: 8 раз(а)	Прежде всего стоит разместить дирикторию админки выше рут дирикории. например такую структуру дирикторий: CODE (htmlphp): скопировать код в буфер обмена home/ username/ cgi-bin/ www/ файлы нашего сайта adminka/ файлы админки framework/ из браузера доступна только дириктория www(может по другому называться например public_html). Это конечно не панацея, но первое христаматийное правило. второе христаматийное правило - пароли храним только хешированные. третье - НЕ храним пароли в куки. четвертое - валидируем/проверяем все входные данные. Все мной сказанное учитывается всегда и везде, если не соблюдены эти простые правила, то о полноценной защите можно даже не говорить. (Отредактировано автором: 25 Мая, 2012 - 17:50:07) ----- просто ?: сложно

Мелкий	Отправлено: 25 Мая, 2012 - 18:46:42
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	tato, вопрос с подвохом: зачем нужна админка, если к ней невозможно получить доступ? ----- PostgreSQL DBA

tato	Отправлено: 25 Мая, 2012 - 19:11:05
Посетитель Покинул форум Сообщений всего: 468 Дата рег-ции: Сент. 2011 Откуда: Владивосток Помог: 8 раз(а)	Ответ с подвохом, зачем минировать собственную бухту? Фарватер, для себя, а остальные пффф. Тем более, Я не предлагаю закрыть админку от всех, бэк все равно будет лежать в руте. Как вариант, для полной параной, можно создать поддомен для входа, вроде myverysecretentrence.site.com, а там уже логины, сессии и прочии прелести. (Отредактировано автором: 25 Мая, 2012 - 19:13:54) ----- просто ?: сложно

DeepVarvar	Отправлено: 25 Мая, 2012 - 19:16:55
Активный участник Покинул форум Сообщений всего: 10377 Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра Помог: 353 раз(а)	С таким подходом можно и домен отдельный завести чтоб даже поддомены не пробили по NS-записям... ----- Шта? Репозиторий?

Поиск в теме | Версия для печати

Страниц (2): [1] 2 »

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.