Delicate tarjoaa phpbb. PhpBB:n suojaaminen

Yhdessä artikkelini kommenteissa minua pyydettiin kertomaan, kuinka phpBB-moottorin tekijöiden tekijänoikeuskenttä poistetaan: "Luotu phpBB:n perusteella." Koska näistä tiedoista voi olla hyötyä muille vierailijoille, päätin kirjoittaa tästä artikkelin.

Miksi tämä kenttä poistetaan? Monet teistä saattavat ilmaista suuttumuksensa sanomalla, että tämän kentän poistamista pidetään tekijänoikeuksien rikkomisena. Tämä ei kuitenkaan ole täysin totta - phpBB on ilmainen web-foorumi, jossa on ilmainen lähdekoodi. Siksi kaikki tekemäsi muutokset olettavat, että omistat tietyn tuotteen tekijänoikeudet. Toisin sanoen, kun olet luonut foorumin tälle koneelle, siitä tulee sinun immateriaaliomaisuutta. phpBB:n kirjoittajat kirjoittivat mekanismin, työkalun foorumien luomiseen, eivät valmiin tuotteen. Tässä tapauksessa, jos poistat tekijänoikeusilmoituksen foorumin alatunnisteesta, tämä ei ole tekijänoikeusrikkomus. Toisaalta, jos jätät tämän merkinnän, se on merkki kiitoksesta ja tuesta kehittäjille, mikä on ehdottomasti hyvä!

Joten jos päätät päästä eroon tästä merkinnästä, ensimmäinen askel on selvittää, missä tekijänoikeustietojen näyttämisestä vastaava parametri sijaitsee. Tätä varten meidän on avattava mikä tahansa foorumisivu, jolla foorumi on näkyvissä jollakin selaimista, jotka tukevat sivukoodin katselutoimintoa (Opera, Google Chrome, Firefox jne.) ja napsauttamalla oikealla painikkeella itse merkinnän mukaan, valitse avattavasta valikosta vaihtoehto nähdäksesi koodi (Tarkista elementti).

Kooditarkastajan avaamisen jälkeen voimme nähdä, että meitä kiinnostavaa lohkoa kutsutaan "tekijänoikeudeksi". Siellä on tehtävä muutoksia, jotta tietoja voidaan muokata, piilottaa tai poistaa.

Toinen vaihe on löytää tiedosto, joka sisältää "tekijänoikeus"-lohkon. Koska emme tiedä tiedoston nimeä, manuaalinen haku kestää hyvin kauan. Siksi käytämme kätevää toimintoa - haku sisällön mukaan, joka on suosikkini tiedostonhallinnassa - Totaalinen komentaja, jäljempänä TS (on muita tapoja hakea sisällön perusteella, mutta niitä ei käsitellä tässä artikkelissa). Avaa tiedostonhallinnassa kansio, johon foorumi on asennettu paikallinen palvelin tai isännöitsijäsi FTP-palvelimella. Haun helpottamiseksi avaamme heti kansion, johon oletustyyliset tiedostot on tallennettu. Valitse seuraavaksi tiedostohaku "Komennot" -valikosta tai paina yksinkertaisesti Alt + F7. Avautuvassa hakuikkunassa jätämme "Hae tiedostot" -kentän huomiotta, koska tiedoston nimi on meille tuntematon. "Hakusijainti" -kenttään tulee määrittää polku kansioon, jossa on asennettu foorumimoottori, oletusarvoisesti ajoneuvo poimii polun automaattisesti, jos hakuikkuna on kutsuttu aktiivisesta osasta, jossa näet kansioiden sisällön. Laita seuraavaksi valintamerkki "Tekstillä" -kentän viereen ja kirjoita hakupalkkiin "copyright", jonka jälkeen napsautamme rohkeasti " Aloita haku" -painiketta ja odotamme, että tulokset tulevat näkyviin.


Haku antoi meille useita tiedostoja, teoriassa niitä pitäisi olla 5, joissa tekijänoikeuslohkon nimi mainitaan. Kaikista tulostiedostoista näemme selvästi, että olemme kiinnostuneita tiedostosta nimeltä "overall_footer.html", koska lohko sijaitsee sivun alatunnisteessa ja sana yleinen viittaa siihen, että tämä tiedosto tallentaa yleiset asetukset, eli koko foorumin. Nyt meillä on 2 vaihtoehtoa tarvitsemamme tiedoston muokkaamiseen - sisäänrakennetun phpBB-mallieditorin kautta tai käyttämällä kolmannen osapuolen editoria. Ensin tarkastelemme muokkausvaihtoehtoa alkuperäisen phpBB-käyttöliittymän kautta.
Meidän on siirryttävä "Hallintakeskukseen" ja "Tyylit" -välilehteen. Tyylinhallintaosiossa katsomme, mikä tyyli on oletusarvoisesti asennettu, tämä osoitetaan tähdellä tyylin nimen perässä. Esimerkissä on asennettu vain yksi perustyyli - prosilve, mutta niitä voi olla useita.

Seuraavaksi siirrymme tyylikomponenttien hallintaosiossa "Mallit"-alaosioon ja valitse aktiivisen teemamme vierestä "Muokkaa".


Nyt meidän on valittava avattavasta luettelosta tiedosto, josta olemme kiinnostuneita, nimeltä "overall_footer.html"


Avautuvassa muokkausalueella siirrymme sivun alareunaan ja löydämme rivin:

jonka jälkeen poistamme seuraavan koodin:

(CREDIT_LINE) (TRANSLATION_INFO) (DEBUG_OUTPUT)

Lopulta koodisi pitäisi näyttää tältä:


Nyt painamme "Lähetä" -painiketta ja voila, olemme saavuttaneet halutun tuloksen - tekijänoikeusilmoitus ei ole enää siellä.

Jatketaan vaihtoehtoinen vaihtoehto kuinka saavuttaa sama tulos: kun meillä on jo titteli haluttu tiedosto, siirrymme oletusarvoisesti aktivoituun teeman "malli"-kansioon ja etsimme samaa tiedostoa nimeltä "overall_footer.html".


Napsauta seuraavaksi tiedostoa hiiren kakkospainikkeella ja valitse avattavasta valikosta "Avaa" ja valitse suosikkikoodieditori, minun tapauksessani se on Blumentals WeBuilder 2011. Tämän jälkeen, aivan kuten alkuperäisen phpBB-mallieditorin tapauksessa. , poista aiemmin määritetty koodi ja tallenna muutokset. Ohjelmassa on myös erittäin kätevä sisäänrakennettu FTP-asiakas, jonka avulla voit muokata ja tallentaa muutoksia etäpalvelimella oleviin tiedostoihin.

Valmis! Jos noudatit kaikkia yllä olevia vaiheita, sinun pitäisi pystyä poistamaan merkintä. Onnittelut!

No, aloitetaan antamaan pieniä vinkkejä sivustojen (foorumien) optimointiin ja mainostamiseen phpBB:ssä. Tässä tapauksessa teemme pienen hakkeroinnin, joka auttaa pääsemään eroon ulkoisesta linkistä, kuten "Powered by phpBB © ...". Tässä julkaisussa tarkastelemme kahta tapaa, joilla voit tehdä tämän - tekniikkaa phpBB 3.x.x.

Ulkoisen linkin poistaminen Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group ja venäläinen phpBB tuki

Ensimmäinen tapa poistaa ulkoinen linkki, jossa lukee Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Ja niin, helpoin tapa on poistaa käyttämällä hallintapaneelia. Siirrymme hallintapaneeliin, siirrymme "Tyylit" -valikkokohtaan, vasemmalla näemme paneelin, jossa valikon lohko sijaitsee, olemme kiinnostuneita "Tyylikomponentit" -lohkosta ja siinä "Malleista". Standardin mukaan ehdotetussa ikkunassa näemme seuraavat: prosilver ja subsilver2, vaikka niitä voisi olla muitakin, jos asennat ne. Yleisesti ottaen siitä ei ole kyse. Valitse ehdotetusta sarjasta oletusarvo. Napsauta mallin vieressä olevaa "muokkaa" -painiketta. Seuraavaksi näkyviin tulee ikkuna, jossa sinua pyydetään valitsemaan mallitiedosto. Valitse seuraavaksi "Mallitiedosto" - "overall_footer.html". HTML-editori näkyy alla. Löydämme seuraavan koodin: "Powered by phpBB 2000, 2002, 2005, 2007 phpBB Group" ja yksinkertaisesti poistamme sen, vaikka voit asettaa oman linkin ja kuvatekstin. "
(TRANSLATION_INFO) " (joka sijaitsee alla, voidaan myös poistaa) - tämä koodi vastaa lokalisoinnista, esimerkiksi ulkoinen linkki, jossa on merkintä "Venäjän phpBB-tuki".

Toinen tapa poistaa ulkoinen linkki, jossa lukee Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Tämä menetelmä on samanlainen, mutta muodostamme yhteyden sivustoon Pratacol ftp:n kautta. Siirry seuraavaan polkuun styles/template_name/template/overall_footer.html. Ja muokkaamme samaa koodia, jota muokkasimme yllä. Jos muutat koodia, älä unohda asettaa UTF-koodausta - näin ankkurien tilalle saattaa ilmestyä "krakkereita" (neliöitä ja muita käsittämättömiä symboleja).

Joten, rakas ystävä, asensit jostain syystä PhpBB:n sivustollesi.
Ehkä siksi, että et ole lukenut ][-lehteä, tai ehkä siksi, että pidät tästä moottorista. Mahdollisuus, ettei sinua hakkeroitu, on kuitenkin minimaalinen. Lasten armeijat selailevat Internetiä etsiessään seuraavaa uhriaan. Kuinka suojautua primitiivisiltä
foorumin hakkerointi? Yritän antaa sinulle ideoita. Voit käyttää useimpia niistä muissa skripteissä.

Päivittää

Tämä on oletuksena. Foorumi pitää päivittää. Ja se, että sinulla on 5/10/15 (alleviivaus tarvittaessa) modit ei ole tekosyy. Tässä tapauksessa sinun tulee vain käyttää "koodimuutoksia", jotka foorumin kehittäjät ovat huolellisesti laatineet samojen modien muodossa. Suosittelen myös uutiskirjeen tilaamista foorumin uusista versioista. Et kuitenkaan voi seurata kaikkea, ja olet liian laiska
tapahtuu, eikö niin? Siksi tarjoan sinulle useita passiivisia tapoja suojella foorumia.

Piilotettu versio

Äskettäin ilmestynyt PhpBB:ssä ja on suuri apu Googlen hakkereita vastaan. Ja jos et edelleenkään päivitä foorumia, uskon, että sinun ei ole vaikeaa korjata simple_footer.tpl- ja overall_footer.tpl-tiedostoja. Voit kuitenkin mennä pidemmälle ja kirjoittaa ilkeän lauseen "Powered by PhpBB" JavaScriptillä



On vain vähän tappiota, jos käyttäjä on poistanut javascriptin käytöstä, vaikka lausetta ei pitäisi poistaa kokonaan puhtaasti moraalisista periaatteista. Tai voit nauraa siitä kirjoittamalla "PhpBB 2.0.6". Kun hakkeri hakkeroituaan saa selville oikean version, niin hän vihastaan ​​pudottaa koko tietokannan puolestasi 😉 Voit myös kirjoittaa "Php BB"... Se ei ole täysin rehellistä, mutta se toimii!

Ei standardi tyyli

Se ei vain korista foorumiasi, vaan myös parantaa hieman suojausta HTML-sivulta tietoja repiviä rikoksia vastaan. Ja sitten vakiotyyli luo tunteen, että ylläpitäjä on joko laiminlyönyt foorumin tai ontuva.

Taulukon etuliite

Mikset laittaisi sinne jotain omaa, esimerkiksi "ExBB". Muuten, tämä voidaan tehdä asennuksen jälkeen muokkaamalla config.php:tä ja nimeämällä taulukoita uudelleen.

Tietokannan muokkaus

Luotettava tapa suojautua SQL Injection-Union -hyökkäyksiltä on muuttaa tietokantaa. Lisää ylimääräisiä tyhjiä kenttiä taulukoihin, käy koodi läpi, ja primitiiviset (!) hyväksikäytöt epäonnistuvat kenttien lukumäärän epäsuhtauden vuoksi. Tai toinen tapa: nimeä user_password-kenttä uudelleen muotoon blahblahblah ja korjaa lähteet (tämä prosessi voidaan helposti automatisoida). Siinä se, kun nyt yrität saada järjestelmänvalvojan salasanan hajautuskoodin, hyväksikäyttö jää yllätyksenä :) Eikä vain hyväksikäyttö.

Piilotetaan config.php

Elämäsi helpottuu, jos hakkeri pystyy lukemaan tiedostoja palvelimella sisällysvirheen ansiosta. Tietysti tässä tapauksessa tiedoston sisällöstä on hänelle vain vähän hyötyä, ellet laita samoja passeja kaikkeen.

Normaali salasana

Niin tyhmältä kuin se näyttääkin, salasanan tulee olla muotoa Sdh66rH904hG – tämä on ainoa tapa, jolla sinun ei tarvitse huolehtia hashin hakkeroinnista. Tallennat sen Password Commanderiin. No, kerro minulle, kuinka usein sinun on esitettävä se? Nyt, jos hash varastetaan, siitä on vähemmän hyötyä.

Poista haku käytöstä

Eikä se haittaisi. Se toimii hirveän bugisesti, syö uskomattoman paljon tilaa tietokannasta ja heikentää hirveästi suorituskykyä. Ja sitten se on bugien lähde, sama kohokohta. Anteeksi, että teen tämän standardi tarkoittaa et voi, mutta et turhaan lue ][? Poista siihen liittyvät tiedostot, pudota taulukoita ja puhdista raaka-aineet ja aiheet. Tuloksena on lisääntynyt tuottavuus ja turvallisuus. Jos olet liian laiska ottamaan selvää, annan sinulle vihjeen: poista kutsut funktioille, jotka sijaitsevat osoitteessa functions_search.php. Paitsi tietysti viimeinen. Mieti, mitkä pöydät pudottaisit... Minulla ei ollut mitään ongelmia.

Väärä järjestelmänvalvoja

Piilota todellinen hallintapaneeli ja poista väärennetyssä kaikki tietokannan kyselyt, kuten INSERT, UPDATE jne. Vielä parempi, sen sijaan, että suoritat niitä, kirjaa ne tiedostoon IP-osoitteen ja muiden hyödyllisten tietojen kanssa. Voitteko kuvitella kuinka hidas hakkeri on, kun hänen tekemiään muutoksia ei oteta käyttöön? Vain hunajaruukku, ei foorumi!

Hajautusalgoritmin muuttaminen

Yleensä hyödyllinen tekniikka. Muuta kaikki tiivistykseen liittyvät funktiokutsut omiksi, jotka vakiokutsujen jälkeen muokkaavat tiivistettä hieman. Esimerkiksi ac45e53bc8dc478e-> ac45e53bc8da478e.
Hakkeri tuskin epäilee temppua... Lisäksi, kun katsoo näitä kahta tiivistettä, hän ei heti huomaa eroa...

No, miksi tämä liitto keksittiin, se toi niin paljon reikiä.... Avaa siis sisällyttääksesi tietokannan kanssa työskentelemiseen ja lisää kyselyn suodatus UNIONilla!

Johtopäätös

Mitä enemmän tiedostoja, taulukoita ja kenttiä nimeät uudelleen, sitä

  • Se tulee olemaan vaikeampaa haksorille
  • Sinun on vaikeampi päivittää foorumia
  • Teet enemmän virheitä

Tiedä siis rajasi äläkä ole vainoharhainen. Suorittamalla kaikki nämä temput pelottelet/pysätyt sekä Kiddisin että Haxorin, ellei jälkimmäisellä ole tiettyä tavoitetta hakkeroida sinua. Vaikka taulukkokenttien nimeäminen uudelleen tarjoaa lähes läpäisemättömän suojan SQL-injektiota vastaan, koska hakkeroinnin edessä ei ole lajitteluja.