Устраняем дыру не снижая функциональности админки

Опубликовано: 808 дней назад (7 марта 2010)

Блог: Улучшаем Instant своими силами

Редактировалось: 2 раза — последний 7 марта 2010

+3↑

Голосов: 3

Кто-то давно знает, кто-то узнал недавно, а кто-то узнает только сейчас про дыру в админке.
Речь идёт о файле /wysiwyg/editor/filemanager/connectors/php/upload.php.
Ранее рекомендованное действие для устранения дыры было простое удаление файла.
Не секрет, что после этого в админке пропадала возможность закачивать файлы, например, при создании/редактировании статьи.
Предлагаю рецепт, который позволит устранить дыру и при этом оставляет возможность закачки файлов в админке.
Рецепт очень прост - нужно изменить имя файла на своё уникальное имя.
Можно, конечно, просто добавить циферку к имени, но это плохо. Нападающий сможет подобрать имя файла. Лучше всего полностью сменить имя на другое, в крайнем случае добавьте не менее 4-5 символов и не только цифр.
Итак, изменили имя этого файла на другое (напоминаю меняем имя файла /wysiwyg/editor/filemanager/connectors/php/upload.php)

После этого заменяем в файле wysiwyg/fckconfig.js все вхождения ’/upload.’ на ’/new_name.’
здесь new_name твоё новое имя для этого файла без php.

Внимание! Eщё раз говорю, без расширения php!

Например, новое имя my_best_upload_system.php smile

Следовательно, в том самом файле нужно будет заменить все вхождения ’/upload.’ на ’/my_best_upload_system.’
У меня было три строки, у вас, думаю, должно быть столько же smile

.
Да, чуть не забыл, браузер нужно будет закрыть и запустить по-новой, а то не заработает.

Кстати, существует ещё один способ, правда менее удобный - защита самого файла /wysiwyg/editor/filemanager/connectors/php/upload.php. Для этого вставим в начало файла вот такие строки:

Код PHP:

$adm_name = "admin";
$adm_pass = "21232f297a57a5a743894a0e4a801fc3";  //Пароль в md5. Здесь пароль: admin
function adm_auth(){
    Header ('WWW-Authenticate: Basic realm="Your_Zone"');
    Header ("HTTP/1.0 401 Unauthorized");
    echo '<html><head><title>access denied...</title></head>
    <body><center>Введите логин и пароль</h1></center></body></html>';
    exit;
}
if (empty($_SERVER["PHP_AUTH_USER"])){
    adm_auth();
}

if ($_SERVER['PHP_AUTH_USER'] != $adm_name OR md5($_SERVER['PHP_AUTH_PW']) != $adm_pass){
    adm_auth();
}

теперь при запуске этого файла он будет запрашивать у вас (но не только у вас smile

) имя и пароль.
По секрету скажу, что нужно будет поменять значение, как минимум у одной переменной. Можете выбрать для этого $adm_name, ну или $adm_pass.
Если же Вы озаботились ранее защитой админки и для этого использовали этот же метод, то тогда защита этого файла для Вас станет прозрачной - он не станет у Вас спрашивать имя и пароль.
И волки целы и овцы сыты.

← Кто приходил ко мне в профиль? | Расширенное облако тегов →

Теги: модификация, модернизация системы, защита, админка

Комментарии (10)

0 # 7 марта 2010 в 05:27 0

т.е. если пользователи добавляют файлы (видео и тд) то подходит 1 способ?

lezginka.ru # 7 марта 2010 в 05:42 0

Виктор, а почему бы это в сборку не добавить.

Виктор # 7 марта 2010 в 10:08 0

Если добавление происходит с помощью стандартного сейчас для instantcms редактора, то подойдут оба способа.
Разница в том, что если в админку вход стандартный без дополнительной авторизации, то придётся первый раз за сеанс работы в админке с добавлением файлов для второго варианта ввести логин и пароль, а для первого варианта ничего вводить не надо.
Но тиражировать, то есть вводить в сборку в таком виде всё равно нельзя, так как после установки системы требуется ручная корректировка. Второй вариант более подходит для тиражирования, но заставлять вводить админа логин и пароль ещё раз, по-моему это должно быть осознанное решение админа. Типа, да я готов проходить ещё раз авторизацию лишь бы не терять функционал.
Щас пришла в голову ещё одна мысль - пойду проверю.

Светлана Кондратьева # 7 марта 2010 в 14:28 0

ммм...Виктор, как тебе такая идея:
1. при исталяции Инстанта где-нибудь в php генерируем случайное слово и присваиваем его переменной $slovo. Как хранить - в конфиге или в БД - неважно, сам решишь))
2. переименовываем файл командой
rename('/wysiwyg/editor/filemanager/connectors/php/upload.php', '/wysiwyg/editor/filemanager/connectors/php/'.$slovo.'.php');
3. После начала работы передаем значение этой переменной в js через форму formName <intut type='hidden' name=slovo value='.htmlspecialchars($slovo).'> ну и так далее
4. принимаем это слово в js val slovo=document.formName.slovo.value; ну и так далее
5. ну, а далее, как ты и предлагаешь, менять в джаваскрипте все вхождения /upload на slovo

вот и все))теперь никто не будет знать имя файла, кроме админа сайта, который может полюбопытствовать ради академического интереса, что ему там сгенерило))))

еще раз говорю, это только идея, поэтому сильно меня не дразни, а то осатанею. тебе же не хочется, чтобя я стервой сделалась)))

neart # 7 марта 2010 в 15:39 0

feba7:

...это только идея, поэтому сильно меня не дразни...

А почему кто-то должен дразнить? ИМХО, была высказана вполне здравая мысль.

Светлана Кондратьева # 7 марта 2010 в 16:02 0

А почему кто-то должен дразнить?

я тоже не знаю, почему, но, к сожалению, есть люди, которые считают, что очень сильно поднимутся, если вывернут свою клоаку наизнанку и обгадят всех окружающих.

Борттехник дядя Саша говорил: "Течь масла свидетельствует о его наличии". Так же и здесь, обгаживание окружающих свидетельствует о наличии дерьма вместо психики.

neart # 7 марта 2010 в 16:20 0

Дык попросите Админа включить в коллекцию смайликов жирный фак и тыкайте его всем огаживальщикам вместо просьб "не дразнить":) Разве такие просьбы на дермоедов подействуют? Забейте на всех недосказанных и будет Вам счастье:) А мы тут уж с тусовкой побеспокоимся, чтобы таких умниц, как Вы не обежали, тем более на кануне праздника:) ну, это типа сновымгодом:)

0 # 7 марта 2010 в 15:33 0

Уже писал по теме, но раз здесь тоже об этом, то позволю себе повториться.
Вернее всего поменять редактор и не выдумывать велосипед.
Ссылки которые могут помочь:
http://www.instantcms.ru/blogs/49/133/post557.html
http://www.instantcms.ru/blogs/0/myINSTANTCMS-moduli-haki-komponenty/zamena-wysiwyg---yeto-prosto.html

0 # 7 марта 2010 в 21:59 0

тоже согласен зачем крыть крушу если сам разработчик больше не поддерживает данный редактор.

0 # 9 марта 2010 в 12:19 0

Хоть мне и не нравятся предложенные решения, добавлю:
Если вы решили им воспользовались, то проделайте тоже самое с файлом connector.php также представляющим опасность в старой версии.

Добавить комментарий

RSS-лента комментариев