-
DONATE to NULLED!
Форуму и его команде можно помочь, мотивировать модераторов разделов. Помогите модератору этого раздела killoff лично.
Хак Взлом любого сайта с модулем Облако тегов для DLE - все версии движка
- Автор темы Izrael
- Дата начала
- Статус
-=MaD_DoG=-
Постоялец
- Регистрация
- 26 Янв 2010
- Сообщения
- 73
- Реакции
- 15
Уязвимость обнаружена на версиях: 7.5 - 8.5
Добавлено через 4 минуты
Синтаксис для этих директив таков:
Order Deny,Allow (или Allow,Deny – в зависимости от того, что требуется)
Deny from all (или адрес хоста)
Allow from all (или адрес хоста)
Например,
Order Deny,Allow
Deny from all
Allow from 192.168.0.
Allow from .localnet
Allow from admin.somewhere.in.the.net
вызывает отказ в доступе для всех, кроме сети 192.168.0.0/24, всех хостов, DNS имя которых содержит .localnet, а также хоста, DNS имя которого admin.somewhere.in.the.net.
-=BlackSmoke=-
Профессор
- Регистрация
- 4 Авг 2009
- Сообщения
- 280
- Реакции
- 49
Кстати, а почему не указано, что это уязвимость в стороннем модуле, а не в движке? У меня заказчики уже боятся юзать ДЛЕ, начитавшись подобных мегохацкерских тем
blackcat72
BlackCat
- Регистрация
- 25 Фев 2008
- Сообщения
- 283
- Реакции
- 33
А как быть с журналистами сайта, которые тоже входят в админку хоть и со своими правами?а еще можно и нужно в настройках админки иметь такой расклад:
Метод авторизации в админпанели = Расширенный метод
+ для надежности и большей параноидальности
Контроль изменения IP адреса = Высокий уровень
Сбрасывать ключ авторизации при каждом входе? = Да
(ну и надеюсь админка не admin.php называется+ я себе даже в .htaccess админку разрешил только с одного ИП
и кража кук будет бесполезна
blackcat72
BlackCat
- Регистрация
- 25 Фев 2008
- Сообщения
- 283
- Реакции
- 33
Я то примерно понял. Вот только я не могу знать айпишники своих журналистов. Или точнее не факт, что у них он постоянный. Или мне от них требовать всю их подстеку тогда, чтобы внести в разрешенную. А так - все равно расширяется диапазон айпишников и снижается степень защиты. Но как вариант, конечно, хороший.
Насчет скрытия админки (не админ.рнр) тоже это не на долго.
Но опять же согласен - главное затруднить всяким взломщикам работу
_aleksey_
Местный житель
- Регистрация
- 14 Июл 2008
- Сообщения
- 326
- Реакции
- 21
Подскажите, плиз, может ли быть эта тема как-то связана с тем, что я наблюдаю на одном своем сайте и целом ряде чужих сайтов на дле:
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войди
Горбушка
Ищу её...
- Регистрация
- 2 Май 2008
- Сообщения
- 3.444
- Реакции
- 2.524
Спорное мнение создалось... С одной стороны, тут ничего опасного: куки админы стырить нельзя, значит хеша его пароля не получишь - под ним не заёдёшь... С другой стороны, выполнение стороннего JS на сайте тоже не есть гуд, НО JS выполняется на стороне ПОЛЬЗОВАТЕЛЯ, а не сервера, а значит ничего получить нельзя, кроме того, что браузер и так получил... Кто-нить, объясните, как вообще JS вытянуть с сервака что-то, что тебе не предназначено?
_aleksey_, нет, по идеи не должно.
Для кул хацкеров: МД5-хеш не расшифровывать надо, а в куки вставлять в качестве пароля
_aleksey_, нет, по идеи не должно.
Для кул хацкеров: МД5-хеш не расшифровывать надо, а в куки вставлять в качестве пароля
photobrand
Постоялец
- Регистрация
- 12 Апр 2010
- Сообщения
- 113
- Реакции
- 13
Зря вы считаете что поисковики с флешем не общаются вот выдержка из правил рамблера
Рамблер умеет извлекать гиперссылки из объектов Macromedia Flash. Если Ваш сайт имеет заставку или навигационные панели, выполненные c использованием этой технологии, Рамблер обработает их, найдет адреса всех страниц сайта и проиндексирует весь сайт. Однако, сами тексты flash-объектов не индексируются. Это решение принято потому, что большая часть таких объектов содержит элементы навигации, заставки, меню и другие фрагменты, очень важные в качестве источника гиперссылок, но малоинформативные как текст. Для сайтов, которые целиком состоят из flash-объектов, рекомендуется создать HTML-копию и зарегистрировать ее в поисковой машине.
Вот ссылка на эту страницу
Рамблер умеет извлекать гиперссылки из объектов Macromedia Flash. Если Ваш сайт имеет заставку или навигационные панели, выполненные c использованием этой технологии, Рамблер обработает их, найдет адреса всех страниц сайта и проиндексирует весь сайт. Однако, сами тексты flash-объектов не индексируются. Это решение принято потому, что большая часть таких объектов содержит элементы навигации, заставки, меню и другие фрагменты, очень важные в качестве источника гиперссылок, но малоинформативные как текст. Для сайтов, которые целиком состоят из flash-объектов, рекомендуется создать HTML-копию и зарегистрировать ее в поисковой машине.
Вот ссылка на эту страницу
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
- Статус