Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Скрипты » Как защищать местоположение файла админки DataLife Engine (обновлено)
Скрипты

Как защищать местоположение файла админки DataLife Engine (обновлено)

автор: Administrator | 22 октября 2009, 18:55 | Просмотров: 13908
теги: Скрипты, DataLife Engine, защита, код, файл, безопасности, веб-мастер, ссылки, процесс, адрес



Многие веб-мастера знают, что в целях безопасности после завершения процесса установки необходимо переименовать название файла admin.php.

Конечно, большинство веб-мастеров меняют адрес админки, но проблема в том, что почти никто из них не знает что, имея счётчик посещаемости установленный на сайте, каждый желающий сможет с легкостью посмотреть статистику сайта и узнать адрес админки.

Потому что, каждый раз при нажатии на одну из ссылок "Просмотр сайта", "написать ПС", "отправить E-Mail" или "Просмотр профиля" из Панель Управления, на сервер статистики сохраняется страница-источник, в данном случае - адрес админки.

А если у Вас статистика доступна только по паролю и думаете что Вы защищены, тогда позвольте обратить Ваше внимание на то, что каждый "потенциальный" партнёр захочет посмотреть статистику и будет попросить пароли доступа. Но я вас уверяю, что угадать его намерения почти невозможно.

Вот почему решил создать хак, с помощью которого каждый веб-мастер будет спокойно открыть ссылки из админки...

Итак, во-первых, нужно создать файл hiap.php и вставить в созданный файл, следующий код:
<?php
if (isset($_GET['url'])) {
     $URL = explode("/hiap.php?url=", $_SERVER['REQUEST_URI']);
     header("Location: ".$URL[1]);
}
else {
     header("Location: /");
}
?>


Теперь, в папке /engine/inc/, открываем файлы:

1. categories.php, находим:
if( $config['allow_alt_url'] == "yes" ) $link = "<a class=\"list\" href=\"" . $config['http_home_url'] . get_url( $id ) . "/\" target=\"_blank\">" . stripslashes( $cat_info[$id]['name'] ) . "</a>";
else $link = "<a class=\"list\" href=\"{$config['http_home_url']}index.php?do=cat&category=" . $cat_info[$id]['alt_name'] . "\" target=\"_blank\">" . stripslashes( $cat_info[$id]['name'] ) . "</a>";

и заменяем на следующий код:
if( $config['allow_alt_url'] == "yes" ) $link = "<a class=\"list\" href=\"hiap.php?url=" . $config['http_home_url'] . get_url( $id ) . "/\" target=\"_blank\">" . stripslashes( $cat_info[$id]['name'] ) . "</a>";
else $link = "<a class=\"list\" href=\"hiap.php?url={$config['http_home_url']}index.php?do=cat&category=" . $cat_info[$id]['alt_name'] . "\" target=\"_blank\">" . stripslashes( $cat_info[$id]['name'] ) . "</a>";



2. cmoderation.php, находим:
<a href=\"" . $full_link . "\"  target=\"_blank\">

и заменяем на следующий код:
<a href=\"hiap.php?url=" . $full_link . "\"  target=\"_blank\">



3. editnews.php, находим:
<a class=\"list\" onclick=\"return dropdownmenu(this, event, MenuBuild('" . $row['id'] . "', '{$full_link}'), '150px')\"href=\"{$full_link}\" target=\"_blank\">

и заменяем на следующий код:
<a class=\"list\" onclick=\"return dropdownmenu(this, event, MenuBuild('" . $row['id'] . "', '{$full_link}'), '150px')\"href=\"hiap.php?url={$full_link}\" target=\"_blank\">



4. editnews.php, находим:
<a href="' + m_link + '" target="_blank">

и заменяем на следующий код:
<a href="hiap.php?url=' + m_link + '" target="_blank">



5. editusers.php, находим:
<a href="{$config['http_home_url']}index.php?do=lastcomments&userid=' + m_id + '" target="_blank">

и заменяем на следующий код:
<a href="hiap.php?url={$config['http_home_url']}index.php?do=lastcomments&userid=' + m_id + '" target="_blank">



6. editusers.php, находим:
$user_name = "<a href=\"{$config['http_home_url']}index.php?subaction=userinfo&user=" . urlencode( $row['name'] ) . "\" target=\"_blank\">" . $row[name] . "</a>";
if( $row[news_num] == 0 ) {
    $news_link = "$row[news_num]";
} else {
    $news_link = "[<a href=\"{$config['http_home_url']}index.php?subaction=allnews&user=" . urlencode( $row['name'] ) . "\" target=\"_blank\">" . $row[news_num] . "</a>]";
}

и заменяем на следующий код:
$user_name = "<a href=\"hiap.php?url={$config['http_home_url']}index.php?subaction=userinfo&user=" . urlencode( $row['name'] ) . "\" target=\"_blank\">" . $row[name] . "</a>";
if( $row[news_num] == 0 ) {
    $news_link = "$row[news_num]";
} else {
    $news_link = "[<a href=\"hiap.php?url={$config['http_home_url']}index.php?subaction=allnews&user=" . urlencode( $row['name'] ) . "\" target=\"_blank\">" . $row[news_num] . "</a>]";
}



7. editusers.php, находим:
[<a class=maintitle href=\"{$config['http_home_url']}index.php?do=feedback&user=$row[user_id]\" target=\"_blank\">$lang[bb_b_mail]</a>]&nbsp;[<a class=maintitle href=\"{$config['http_home_url']}index.php?do=pm&doaction=newpm&user=$row[user_id]\" target=\"_blank\">$lang[nl_pm]</a>]

и заменяем на следующий код:
[<a class=maintitle href=\"hiap.php?url={$config['http_home_url']}index.php?do=feedback&user=$row[user_id]\" target=\"_blank\">$lang[bb_b_mail]</a>]&nbsp;[<a class=maintitle href=\"hiap.php?url={$config['http_home_url']}index.php?do=pm&doaction=newpm&user=$row[user_id]\" target=\"_blank\">$lang[nl_pm]</a>]



8. iptools.php, находим:
<a href="{$config['http_home_url']}index.php?do=lastcomments&userid=' + m_id + '" target="_blank">

и заменяем на следующий код:
<a href="hiap.php?url={$config['http_home_url']}index.php?do=lastcomments&userid=' + m_id + '" target="_blank">



9. iptools.php, находим:
<a href=\"{$config['http_home_url']}index.php?subaction=userinfo&user=" . urlencode( $row['name'] ) . "\" target=\"_blank\">

и заменяем на следующий код:
<a href=\"hiap.php?url={$config['http_home_url']}index.php?subaction=userinfo&user=" . urlencode( $row['name'] ) . "\" target=\"_blank\">



10. main.php, находим:
<a href="{$config['http_home_url']}index.php?do=lastcomments" target="_blank">

и заменяем на следующий код:
<a href="hiap.php?url={$config['http_home_url']}index.php?do=lastcomments" target="_blank">



11. static.php, находим:
<a  class=maintitle href='$vlink' target=\"_blank\">

и заменяем на следующий код:
<a  class=maintitle href='hiap.php?url=$vlink' target=\"_blank\">



12. engine/skins/default.skin.php, находим:
<a href="{$config['http_home_url']}" target="_blank" class=navigation>

и заменяем на следующий код:
<a href="hiap.php?url={$config['http_home_url']}" target="_blank" class=navigation>



Теперь, "внешние ссылки" из админки будут выгледить так:
http://www.site.ru/hiap.php?url=http://www.site.ru/

И при открытие, на сервер статистики сохраняется страница-источник:
http://www.site.ru/hiap.php

Вот и всё: Не так быстро, зато легко и безопасно!

@ Grimyar
19 ноября 2009, 19:21 | |  
Аватар пользователя Grimyar
карма: 0
комментариев: 1
новостей: 0
группа: Посетители
Огромное спасибо. Поставил. Все работает (у меня DLE 8.2) dance4 .
@ Rus220
4 января 2010, 12:23 | |  
Аватар пользователя Rus220
карма:
комментариев: 0
новостей: 0
группа: Гости
Позиция 7 в какой строке находится уже 1час ищу и немогу найти dash

10 пункт тоже немогу найти строку bpc

11пункт тоже ненашёл bpc

и в12пункте тоже строку ненашёл download

Напишите кто ставил номера строк из пунктов 7,10,11,12

Заранее спасибо
@ XenoN
4 января 2010, 13:31 | |  
Аватар пользователя XenoN
карма:
комментариев: 0
новостей: 0
группа: Гости
DLE 8.3 отсутствует пункт №11
@ scynet
9 января 2010, 23:20 | |  
Аватар пользователя scynet
карма:
комментариев: 0
новостей: 0
группа: Гости
для 8.3 11-ая строка выглядит немножко иначе. Искать по частям фразы и меняем $vlink на hiap.php?url=$vlink
@ GoldenSX
2 февраля 2011, 12:04 | |  
Аватар пользователя GoldenSX
карма:
комментариев: 0
новостей: 0
группа: Гости
Вообще хотел сказать что есть ещё примитивный способ удаление всей ереси,это в первую очередь, смотреть на самую последнюю версию базу данных, что-бы не удалось провести SQL-injection а второе это убрать из запросов " - цифры желательно в базе данных как можно больше полей.
@ Administrator
2 февраля 2011, 13:08 | |  
Аватар пользователя Administrator
карма: +4685.926
комментариев: 239
новостей: 1005
группа: SysOp
GoldenSX,
Если честно, я не совсем понял какое отношение имеет Ваш комментарий к данному посту.
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.