Forum. MyNuke.ru
Forum. MyNuke.ruСообщения за сегодняПерсональные сообщения

Навигация  
Вернуться   Forum. MyNuke.ru > PHP-NUKE > Безопасность
Ник
Пароль
Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Dino вне форума      Старый Надо ли переименовывать admin.php ? #1  
Dino
Новенький
Регистрация: 14.03.2005
Сообщения: 8


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Dino Найти все сообщения от Dino Добавить Dino в список друзей  
28.03.2005, 19:07

задался таким вопросом... я имею в виду корневой файл админки. везде вроде говорится, что надо. но во-первых - по ссылке на административный логон его название видно, как его спрятать - не нашел, хочу !!! :-)
а во-вторых - прячут вроде конфиг, а сами пароли на вход в админку просто шифруют еще средствами сервера... так как правильно? - я-то его переименовал, только по ссылке сразу видно, кто есть этот зверь... :-)

Soniks вне форума      Старый #2  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
28.03.2005, 19:37

Dino по какой ссылки? ни какой ссылки на админ фаил в нюке нет! эти ссылки видны только администратору
а если вы про главную страницу, там где: "Welcome to PHP-Nuke!.... Из соображений безопасности, создайте администратора сайте немедленно, нажав ЗДЕСЬ..."
то это сообщени конечно в последствии надо удалить!

Dino вне форума      Старый #3  
Dino
Новенький
Регистрация: 14.03.2005
Сообщения: 8


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Dino Найти все сообщения от Dino Добавить Dino в список друзей  
28.03.2005, 20:24

как нет? а как же заходить в аминку вообще? конечно можно повесить админлогон в блоке и заходить по кнопке... но логичнее сделать по крайней мере скрытую ссылку... или открытую, например - администрирование. или как другие делают? я просто не хочу - да мне и не надо чтобы админлогон постоянно висел в блоке...
или ничего не делают - а просто в браузере набирают? мне администрацию надо будет передать... может я чего-то не так понимаю... как администрируют сайт, только без постоянного логона в блоке???

Soniks вне форума      Старый #4  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
28.03.2005, 20:32

Dino в стандартной укомплектации phpNuke нет! блока с логином для администратора, есть только для пользователя!
а в админку (первый раз) вы можите попасть только набрав соответствующий адрес в строке браузера, например: http://test.ru/admin2.php - и там вы уже вводите логин и пас для входа в административную часть.

Dino вне форума      Старый #5  
Dino
Новенький
Регистрация: 14.03.2005
Сообщения: 8


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Dino Найти все сообщения от Dino Добавить Dino в список друзей  
28.03.2005, 23:15

Soniks, спасибо - понял. Все заходят из строки браузера... а других вариантов нет, так у всех? я только не пойму - ну знает потенциальный взломщик имя админфайла и даже видит поля логина и ввода пассворда. Так забодаешься же перебирать, это ж инет... или есть какие-то подводные камни?

Soniks вне форума      Старый #6  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
29.03.2005, 00:38

Dino есть и очень много, хакеры редко пользуются методикой подборкой пароля, они стараются обойти сам процес авторизации.

Последний раз редактировалось Soniks, 29.03.2005 в 01:45.
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Dino вне форума      Старый #7  
Dino
Новенький
Регистрация: 14.03.2005
Сообщения: 8


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Dino Найти все сообщения от Dino Добавить Dino в список друзей  
29.03.2005, 09:35

Soniks ок, понял, спасибо за информацию.
Неужели так легко обойти авторизацию... Файлы скриптов переименованы, базы неизвестны, префиксы другие, пароль хеширован и зашифрован. Хмм... а потенциально - как? где можно почитать?

Soniks вне форума      Старый #8  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
29.03.2005, 14:46

Dino ну когда выше перечисленное выполнено, то уже сложно произвести нападение. Хакеры часто всего пользуются новыми найденными уязвимостями найденные в phpBB и PHP-NUKE (его модулях) и администратор сайта который не следит за безопасностью и во время не фиксит баги будет наказан со стороны хакера

Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Что делать с файлами Config.php и admin.php??? Serega Безопасность 5 19.04.2005 19:25


Часовой пояс GMT +4, время: 07:06.


На Верх
Рейтинг@Mail.ru