Nos, kezdjünk el apró tippeket adni a webhelyek (fórumok) optimalizálásához és népszerűsítéséhez a phpBB-n. Ebben az esetben egy kis feltörést hajtunk végre, amely segít megszabadulni az űrlap külső hivatkozásától " Üzemeltető: phpBB ©..." Ebben a kiadványban 2 módot fogunk megvizsgálni, amelyekkel ezt megteheti - egy technikát phpBB 3.x.x.

Külső hivatkozás eltávolítása Üzemeltető: phpBB © 2000, 2002, 2005, 2007 phpBB Csoport és orosz phpBB támogatás

Az első módja egy külső hivatkozás eltávolításának Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Így a legegyszerűbb módja az adminisztrációs panel eltávolítása. Bemegyünk az adminisztrációs panelre, menjünk a "Stílusok" menüpontra, balra látjuk azt a panelt, ahol a menü blokkja található, a "Stílusösszetevők" blokk érdekel, és abban a "Sablonok". A szabvány szerint a javasolt ablakban a következőket fogjuk látni: prosilver és subsilver2, bár lehetnek mások is, ha telepítette őket. Általában nem ez a lényeg. A javasolt készletből válassza ki az alapértelmezettet. Kattintson a sablon melletti "szerkesztés" gombra. Ezután megjelenik egy ablak, amely arra kéri, hogy "Válasszon sablonfájlt". Ezután válassza ki a "Sablonfájl" - "overall_footer.html" lehetőséget. Az alábbiakban egy HTML-szerkesztő jelenik meg. A következő kódot találjuk: Üzemeltető: phpBB 2000, 2002, 2005, 2007 phpBB Csoport"és csak töröld, bár saját linket és feliratot beállíthatsz."
(TRANSLATION_INFO) " (amely lent található, szintén törölhető) - ez a kód felelős a lokalizációért, például egy külső hivatkozás az "orosz phpBB támogatás" felirattal.

A második módszer egy külső hivatkozás eltávolítására, amelyen az áll, hogy Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Ez a módszer hasonló, de ftp pratacol segítségével csatlakozunk az oldalhoz. Nyissa meg a következő elérési utat: styles/template_name/template/overall_footer.html. És ugyanazt a kódot szerkesztjük, amelyet fent szerkesztettünk. Ha megváltoztatja a kódot, ne felejtse el beállítani az UTF kódolást - így a horgonyok helyén "őrült" (négyzetek és egyéb érthetetlen karakterek) jelenhet meg.

Szóval, kedves barátom, valamiért feltetted magad a PhpBB oldalára.
Talán azért, mert nem olvasta a ][ magazint, vagy azért, mert szereti ezt a motort. Minimális azonban annak az esélye, hogy nem fognak feltörni. Kiddisek seregei kutatják az internetet, keresve a következő áldozatukat. Hogyan védheti meg magát a primitívektől
fórum hack? Megpróbálok néhány ötletet adni. Legtöbbjük más szkriptekben is használható.

Frissítés

Ez alapértelmezés szerint. A fórumot frissíteni kell. És az a tény, hogy 5/10/15 (illetve aláhúzva) modod van, nem mentség. Csak ebben az esetben használja a "kódmódosításokat", amelyeket a fórum fejlesztői gondosan közzétettek ugyanazon modok formájában. Javaslom továbbá, hogy iratkozzon fel a fórum új verzióiról szóló hírlevélre. Azonban nem tudsz mindent nyomon követni, és a lustaság
történik, igaz? Ezért számos passzív módot ajánlok a fórum védelmére.

Verzió elrejtése

Nemrég jelent meg a PhpBB-ben, és sokat segít a Google hackerei ellen. És ha továbbra sem frissíti a fórumot, úgy gondolom, nem lesz nehéz kijavítania a simple_footer.tpl és az overall_footer.tpl fájlokat. Azonban tovább lehet menni, és leírhatja a "Powered by PhpBB" gonosz kifejezést javascript-tel

Csekély a veszteség, ha a felhasználónál le van tiltva a javascript, bár a kifejezést pusztán erkölcsi elvek alapján nem szabad teljesen eltávolítani. Vagy kigúnyolhatod a "PhpBB 2.0.6" beírásával. Amikor egy hacker feltörése után megtudja a valódi verziót, akkor dühében ledobja helyetted a teljes adatbázist 😉 Azt is írhatod, hogy "Php BB"... Nem teljesen fair, de működik!

egyedi stílus

Nemcsak a fórumot fogja szépíteni, de némileg meg is növeli a védelmet a HTML-oldalakról információkat kimásoló támadásokkal szemben. Aztán a standard stílus azt az érzést kelti, hogy az admin vagy gólt szerzett a fórumon, vagy lamo.

Táblázat előtag

Miért nem tesz oda valami sajátot, például "ExBB"-t. Ez egyébként telepítés után is megtehető a config.php szerkesztésével és a táblák átnevezésével.

Adatbázis módosítás

Az SQL-injection-Union támadások elleni védelem megbízható módja az adatbázis megváltoztatása. Adjunk hozzá extra üres mezőket a táblákhoz, menjünk át a kódon, és a primitív (!) exploitok kárba mennek a mezők számának eltérése miatt. Vagy más módon: nevezze át a user_password mezőt blahblahblah-ra, és javítsa ki a forrásokat (ezt a folyamatot könnyen automatizálhatja). Ez van, most, amikor megpróbálod megszerezni az adminisztrátori jelszó hash-jét, az exploit meglepetésben lefagy 🙂 És nem csak az exploit.

A config.php elrejtése

Megkönnyíti az életét, ha a haxor képes lesz olvasni a szerveren lévő fájlokat az include bugnak köszönhetően. Persze ebben az esetben a fájl tartalma még mindig nem sok hasznát veszi, hacsak nem teszed mindenre ugyanazokat a passzokat.

Normál jelszó

Mivel ez nem elcsépelt dolog, de a jelszónak Sdh66rH904hG formátumúnak kell lennie - csak így nem kell aggódnia a hash feltörése miatt. A Password Commanderben fogja tárolni. Nos, mondd, milyen gyakran kell belépned? Ha a hash-t még mindig ellopják, akkor kevesebb értelme lesz.

Szüntesse meg a keresést

És ez nem ártana. Rettenetesen hibásan működik, hihetetlenül sok helyet foglal el az adatbázisban és borzasztóan csökkenti a teljesítményt. És akkor ez a hibák forrása, ugyanaz a kiemelés. Szabványos eszközökkel sajnos ezt nem lehet megtenni, de nem hiába olvasod a ][? Távolítsa el a kapcsolódó fájlokat, dobja el a táblázatokat, és tisztítsa meg a nyersanyagokat és a témákat. Az eredmény megnövekedett termelékenység és biztonság. Ha lusta vagy rájönni, akkor elmondom: szüntesd meg a functions_search.php fájlban található függvények hívását. Kivéve persze az utolsót. És gondolkozz el azon, hogy melyik asztalt dobd le... Nem volt gondom.

Hamis admin

Rejtsd el a valódi adminisztrációs panelt, és töröld az adatbázisba intézett összes kérést, például az INSERT, UPDATE stb. Még jobb, ha végrehajtásuk helyett naplózza őket egy fájlba az IP-vel és más hasznos adatokkal együtt. El tudod képzelni, milyen lassú lesz a hacker, ha az általa végrehajtott változtatásokat nem alkalmazzák? Egyenes mézesedény, nem fórum!

A kivonatolási algoritmus megváltoztatása

Általában hasznos trükk. Változtassa meg az összes hash-hez kapcsolódó függvényhívást a sajátjára, amely a szabványosak meghívása után kissé módosítja a hash-t. Például ac45e53bc8dc478e->ac45e53bc8da478e.
Egy hacker aligha fog trükkre gyanakodni... Sőt, ezt a két hash-t nézve nem fogja azonnal észrevenni a különbséget...

Nos, ezt az uniót kitalálták, annyi lyukat hozott.... Tehát nyissa meg az include-ot az adatbázissal való munkához, és adjon hozzá lekérdezésszűrést az UNION-nal!

Következtetés

Minél többet nevez át fájlokat, táblákat és mezőket, a

• Haxornak nehezebb lesz
• A fórum frissítése nehezebb lesz
• Még több hibát fog elkövetni

Tehát tudd, mikor kell abbahagyni, és ne légy paranoiás. Mindezekkel a trükkökkel megijeszted/megállítod mind a kiddis-t, mind a huxort, hacsak utóbbinak nincs konkrét célja, hogy konkrétan feltörjön téged. Bár a táblamezők átnevezése szinte áthatolhatatlan védelmet nyújt az SQL-injekció ellen, mert a haxor előtt, gondold meg, nem lesz rendezés.

A cikkem egyik megjegyzésében megkértek, hogy mondjam el, hogyan lehet eltávolítani a phpBB motor alkotóinak szerzői jogi mezőjét: „PhpBB alapján készült”. Mivel ezek az információk más látogatók számára is hasznosak lehetnek, úgy döntöttem, hogy erről írom ezt a cikket.

Miért távolítsa el ezt a mezőt? Sokan felháborodását fejezhetik ki amiatt, hogy ennek a mezőnek az eltávolítása a szerzői jogok megsértésének minősül. Ez azonban nem teljesen igaz – a phpBB egy ingyenes és nyílt forráskódú webfórum. Ezért az Ön által végrehajtott változtatások feltételezik, hogy Ön az adott termék szerzői jogának kizárólagos tulajdonosa. Más szóval, miután létrehoz egy fórumot ezen a motoron, az Ön szellemi tulajdonává válik. A phpBB szerzői egy mechanizmust, egy eszközt írtak fórumok létrehozására, nem pedig készterméket. Ebben az esetben, ha eltávolítja a szerzői jogi feliratot a fórum láblécéből, az nem minősül szerzői jogsértésnek. Viszont ha mégis meghagyod ezt a feliratot, az a hála és a támogatás jele lesz a fejlesztők felé, ami mindenképpen jó!

Tehát, ha mégis úgy dönt, hogy megszabadul ettől a felirattól, akkor első lépésként azt kell megtudnunk, hogy hol található a szerzői jogi információk megjelenítéséért felelős paraméter. Ehhez meg kell nyitnunk minden olyan fórumoldalt, ahol a fórum látható az oldalkódnézet funkciót támogató böngészők valamelyikében (Opera, Google Chrome, Firefox stb.), és a jobb gombbal magára a feliratra kattintva, válasszon a legördülő menüből kód áttekintése (Elem ellenőrzése).

A kódellenőr megnyitása után láthatjuk, hogy a minket érdeklő blokk neve " szerzői jog» . Ebben kell módosítania az információk szerkesztéséhez, elrejtéséhez vagy törléséhez.

A második lépés a "copyright" blokkot tartalmazó fájl megkeresése. Mivel nem ismerjük a fájl nevét, a kézi keresés nagyon sokáig tart. Ezért egy kényelmes funkciót fogunk használni - tartalom szerinti keresés, amellyel a kedvenc fájlkezelőm rendelkezik - a Total Commander, a továbbiakban TS (vannak más módok is a tartalom szerinti keresésre, de ebben a cikkben ezeket nem vesszük figyelembe). A fájlkezelőben nyissa meg azt a mappát, ahová a fórum telepítve van a tárhelyszolgáltató helyi szerverén vagy FTP-kiszolgálóján. A keresés megkönnyítése érdekében azonnal megnyitjuk azt a mappát, amelyben az alapértelmezett stílusú fájlokat tároljuk. Ezután válassza ki a fájlok keresését a menüben " Csapatok vagy csak nyomd meg Alt+F7. A megjelenő keresőablakban figyelmen kívül hagyjuk a " Fájlok keresése„mert nem tudjuk a fájl nevét. mezőben " Hely keresése"A telepített fórummotorral rendelkező mappa elérési útját meg kell adni, alapértelmezés szerint a TS automatikusan felveszi az elérési utat, ha a keresőmezőt abból az aktív részből hívták meg, ahol a mappák tartalmát nézi. Ezután jelölje be a "" melletti négyzetet Szöveggel" és a keresősávba írja be a "copyright" szót, majd bátran nyomjuk meg a "" gombot A keresés megkezdéséhezés várja meg az eredményeket.


A keresés több fájlt is adott nekünk, elméletileg 5 darabnak kellene lennie, amiben a szerzői jogi blokk neve szerepel. Az összes kiadott fájlból egyértelműen látjuk, hogy egy "" nevű fájl iránt érdeklődünk overall_footer.html” mert a blokk az oldal láblécében található, és az overall szó arra utal, hogy a globális beállítások ebben a fájlban vannak tárolva, vagyis az egész fórumra vonatkozóan. Most két lehetőségünk van a szükséges fájl szerkesztésére - a beépített phpBB sablonszerkesztővel vagy egy harmadik féltől származó szerkesztő használatával. Először a natív phpBB felületen keresztüli szerkesztést nézzük meg.
Be kell mennünk Felügyeleti központ"és menj a lapra" Stílusok". A stíluskezelés részben megnézzük, hogy alapértelmezés szerint milyen stílus van beállítva, ezt a stílus neve után egy csillag jelzi. A példában csak egy van beállítva, az alapstílus prosilve, de több is lehet.

Ezután a stíluskomponens-kezelés szakaszban a "" alszakaszra lépünk. Sablonok", és válassza ki a "" elemet változás» aktív témánk mellett.


Most ki kell választanunk a legördülő listából a számunkra érdekes fájlt " overall_footer.html»


A megjelenő szerkesztési területen az oldal aljára lépünk, és megkeressük a következő sort: