Сайт сообщества | Клуб пользователей | О проекте

Имя
Пароль
ПравилаРегистрацияСправка
Сообщения за деньПоиск

Вернуться   Клуб пользователей портальной системы RUNCMS > Опен Ресурс > Разработчикам > Готовые хаки

Ответ
 
Опции темы Опции просмотра
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #1 06-23-2012, 14:10

В связи с обнаружившейся уязвимостью, описанной в этом топике, возникла мысль сделать отдельную авторизацию для админ-панели системы.

В результате набросал нижеприведенный хак.

ВНИМАНИЕ! Это alpha версия, предназначенная только для тестирования.

Не устанавливайте ее на рабочие сайты.

Отличие отдельной авторизации для администратора:

1) Используются только PHP сессии.
2) Авторизация длится только 20 минут
3) При формировании хэша авторизации используются IP и USER_AGENT администратора

v1.0alpha-2 (24.06.2012)

4) Форма авторизации защищена от CSRF атак.
5) Форма авторизации защищена капчей

Установка

1) Зайдите в phpMyAdmin, и выполните SQL запрос:

Код:
CREATE TABLE IF NOT EXISTS `префикс_cpsession` (
  `uid` mediumint(8) unsigned NOT NULL DEFAULT '0',
  `uname` varchar(30) NOT NULL DEFAULT '',
  `time` int(10) unsigned NOT NULL DEFAULT '0',
  `ip` varchar(15) NOT NULL DEFAULT '',
  `mid` mediumint(8) unsigned NOT NULL DEFAULT '0',
  `hash` varchar(40) NOT NULL DEFAULT '',
  PRIMARY KEY (`time`),
  KEY `idx` (`uid`,`hash`)
) ENGINE=MyISAM;
"префикс" в названии таблицы `префикс_cpsession` замените на префикс к вашим таблицам.

Префикс к таблицам, вы можете посмотреть в корневом файле /mainfile.php, в переменной $rcxConfig['prefix']

Например, если у вас

PHP код:
$rcxConfig['prefix'] = '2qsdF3f_'
то

`префикс_cpsession`

вы должны заменить на

`2qsdF3f__cpsession`


2) Скопируйте содержимое папки runcms из прикрепленного архива в корневую директорию сайта

Будут заменены следующие файлы:

/class/sessions.class.php
/include/cp_functions.php
/include/common.php
/language/russian/admin.php
/admin.php


v1.0alpha-2 (24.06.2012)

/class/kcaptcha/kcaptcha.php


ВНИМАНИЕ! Если вы вносили в выше перечисленные файлы, какие либо изменения, то они будут потеряны.

---

Теперь авторизации на сайте и в админ-панели действуют независимо друг от друга, например, вы можете быть авторизованы в админ-панели но не сайте.

Использование PHP сессии, делает бессмысленным кражу хэша авторизации, так как его теперь нельзя подставить в куки. Ограничение в 20 минут для сеанса и использование IP и USER_AGENT в хэше дает дополнительную защиту при краже ID PHP сессии.

---

Апдейт 24.06.2012

Добавлена капча
Добавлена защита от CSRF атак
Изображения
Тип файла: png private_admin_login.png (196.6 Кбайт, 19 просмотров)
Тип файла: png private_admin_login_2.png (179.7 Кбайт, 13 просмотров)
Вложения
Тип файла: zip h_runcms-b2.2.2_private_admin_login-v1.0alpha-1.zip (14.2 Кбайт, 2 просмотров)
Тип файла: zip h_runcms-b2.2.2_private_admin_login-v1.0alpha-2.zip (17.6 Кбайт, 5 просмотров)
Оценка сообщения (репутация)
+9 pan положительно: мерси
+0 us0gh положительно: Thanks

Последний раз редактировалось LARK, 06-24-2012 в 18:09


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
Usama вне форума Usama
Старший участник

Аватар для Usama

| Цитировать Старый #2 06-24-2012, 05:25

Еще добавить надо капчу, чтоб боты не долбили почем зря.


Творческая работа - это прекрасный, необычайно тяжелый и изумительно радостный труд.
Николай Островский
Посетить домашнюю страницу Usama
  Сообщения: 1,404 c 10.12.2003 | Репутация: 82
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #3 06-24-2012, 18:03

Цитата:
Сообщение от Usama Посмотреть сообщение
Еще добавить надо капчу, чтоб боты не долбили почем зря.
Да, можно. Хотя не всем это нравится.

Сделал вариант с капчей + защита от CSRF. Обновил первый пост.
Оценка сообщения (репутация)
+6 Usama положительно: щас затестим =)


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
Usama вне форума Usama
Старший участник

Аватар для Usama

| Цитировать Старый #4 06-25-2012, 17:39

А можно как-то логинзу прикрутить к роне, чтоб пользователи могли через соц сети заходить?


Творческая работа - это прекрасный, необычайно тяжелый и изумительно радостный труд.
Николай Островский
Посетить домашнюю страницу Usama
  Сообщения: 1,404 c 10.12.2003 | Репутация: 82
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #5 06-25-2012, 20:44

Конечно, по уму надо делать, например, так: логин для админа изначально без капчи, если, допустим было 3 неправильных ввода пароля, добавляется капча. Еще 5 неправильных логинов (уже с капчей) и IP блокируется на определенное время (например на 20 минут).

Но это надо вводить отдельную таблицу логов авторизаций в админку.


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
Zormax вне форума Zormax
Старожил

Аватар для Zormax

| Цитировать Старый #6 06-26-2012, 17:43

Я уже предлагал заюзать скрипт _DIMA_NOFLOOD.PHP
давно стоит и настроен на всех, что человек с одного айпи не может сделать больше пяти попыток войти под учетку (любую), с периодом 1 раз в минуту, дальше по прогрессируещей блокирует


Всё для Sony Ericsson
Посетить домашнюю страницу Zormax
  Сообщения: 2,424 c 15.05.2004 | Репутация: 149
ZlydenGL вне форума ZlydenGL
Напильникъ - наше все

Аватар для ZlydenGL

| Цитировать Старый #7 02-19-2013, 12:14

Два вопроса:

1. Не могу скачать вложения из первого сообщения. Косяк форума?
2. Можно ли ждать "официальный" фикс для линейки 1.6.х?


Не ошибается только тот, кто ничего не делает. Ковчег построил любитель. Профессионалы строили Титаник.
  Сообщения: 777 c 22.09.2008 | Репутация: 92
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #8 02-19-2013, 14:36

Цитата:
Сообщение от ZlydenGL Посмотреть сообщение
1. Не могу скачать вложения из первого сообщения. Косяк форума?
да баг после переезда


Цитата:
Сообщение от ZlydenGL Посмотреть сообщение
2. Можно ли ждать "официальный" фикс для линейки 1.6.х?
ну, если только для 1.7


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
ZlydenGL вне форума ZlydenGL
Напильникъ - наше все

Аватар для ZlydenGL

| Цитировать Старый #9 02-19-2013, 14:42

Будут диффы - будет и патч Ждем фикса вложений!


Не ошибается только тот, кто ничего не делает. Ковчег построил любитель. Профессионалы строили Титаник.
  Сообщения: 777 c 22.09.2008 | Репутация: 92
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #10 02-19-2013, 15:36

Цитата:
Сообщение от ZlydenGL Посмотреть сообщение
Будут диффы - будет и патч Ждем фикса вложений!
починил


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Рейтинг@Mail.ru Хостинг провайдер Majordomo. Powered by: vBulletin Version 3.0
Copyright ©2000-2024, Jelsoft Enterprises Ltd.
Все разделы прочитаны - Руководство форума - Архив - Вверх
Rambler's Top100
Output: 91.74 Kb. compressed to 84.12 Kb. by saving 7.62 Kb. (8.30%)
Page generated in 0.09149 seconds with 11 queries