Инфо Защита DLE

Тема в разделе "DLE", создана пользователем palbanec, 15 фев 2013.

Информация :
Актуальная версия DataLife Engine 11.3
( Final Release v.11.3 | Скачать DataLife Engine | Скачать 11.3 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.2 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Модераторы: killoff
  1. palbanec

    palbanec

    Регистр.:
    2 июл 2010
    Сообщения:
    457
    Симпатии:
    40
    Где-то встречал защиты через .htaccess на то чтоб файлы не запускались.
    Также натыкался давно на некий антивирусник, который при заливки файлов в не разрешённые места оповещал на мыло.
    По защите админки, видел также здесь модуль ложной админки.

    Как Вы решили вопрос с защитой довольно дырявенькой дле. То что свисти к минимуму модулей, это я и так знаю.
     
    Роман123456 нравится это.
  2. unkn0wn

    unkn0wn

    Регистр.:
    22 дек 2006
    Сообщения:
    164
    Симпатии:
    86
    mod_security для апача при грамотной настройке закроет все sql-инъекции и XSS, а в папку для аплоада ложишь .htaccess с содержимым а-ля
    Код:
    <FilesMatch "\.(php|php4)"> 
    order deny,allow
    deny from all
    </FilesMatch> 
     
  3. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.175
    Симпатии:
    2.195
    В 9.2 (вроде, в 9.7 100% есть) ещё реализовали в движке... Ну разве что антивирус там хромает, зато есть модуль - ZeoS, есть на официальном сайте ДЛЕ. Кроме того, на нулледе есть антивирус, который очень похож на ZeoS, но его придётся руками отучать от папки аплодс
    Увы, Вы ошибаетесь... mod_security хоть и залатает часть дырок, но не является 100% защитой. Кроме того, с XSS и SQL в ДЛЕ ещё терпимо... Редкость большая и фиксится. У ДЛЕ с шелами проблема больше... Ну и с регистер глобалс...
    Хотя не спорю, любая безопасность никогда не бывает лишней =)
     
  4. unkn0wn

    unkn0wn

    Регистр.:
    22 дек 2006
    Сообщения:
    164
    Симпатии:
    86
    Ребята, какой register_globals, на дворе 2013 год, в php 5.3 deprecated, в 5.4 removed )
     
  5. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.175
    Симпатии:
    2.195
    Понимаю... Знаю... Пинаю всех клиентов, чтобы не включали... Но вот в этой теме https://www.nulled.cc/threads/237296/ как минимум 20 человек с этой register_globals получили взломанные сайты...