Strona 2 z 5 PierwszyPierwszy 1234 ... OstatniOstatni
Wyniki 11 do 20 z 50

Temat: Metodzie SQL Injection mówię: Spadaj na drzewo!

  1. #11
    Wiarus Jac awatar
    Dołączył
    22-12-2005
    Skąd
    Szczecin/Warszawa/Bieszczady
    Wpisy
    1 261
    Punkty
    174

    Domyślny

    Dodatek i sam pomysł świetna sprawa!
    Dzięki jolaass!
    Zapracowany po uszy, cały czas kilka projektów na tapecie.
    Od 2005 roku indywidualne projekty Joomla - www.studioalfa.pl.
    Polecam darmowe templatki Joomla.

    Nie pomagam w kwestiach związanych z Joomla na Facebooku! Forum Joomla jest tutaj.

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #12
    Przeglądacz elementh awatar
    Dołączył
    15-12-2009
    Wpisy
    97
    Punkty
    10

    Domyślny

    Nic dodać nic ująć.. Poprostu WOW!
    Serdeczne podziękowania za pomysł i wykonanie!

    Pozdrawiam,
    Elementh

  4. #13
    Wyga Jola awatar
    Dołączył
    08-01-2008
    Skąd
    Wrocław
    Wpisy
    3 170
    Punkty
    378

    Domyślny

    Dzięki @moje popełniłam kolejną modyfikację dodatku Spadaj. Zmiana polega na rozszerzeniu konfiguracji:
    dołożeniu możliwości wyboru sposobu zapisu o próbie ataku
    oraz id powiadamianego administratora i id użytkownika traktowanego jako nadawca tej informacji.
    Tym razem dodatek jest do pobrania w plikowni: Dodatek Spadaj

  5. #14
    Bywalec
    Dołączył
    09-12-2006
    Skąd
    Lubliniec
    Wpisy
    298
    Punkty
    14

    Domyślny

    Fajny dodatek ale czy nie lepiej temat podpiąć pod kategorie 'bezpieczeństwo', są takie na forum. Tutaj może zostać zarzucony innymi mniej ważnymi postami.
    Pozdrawiam Keran
    ________________________
    • webwizard.pl - projektowanie stron i sklepów internetowych.

  6. #15
    Przeglądacz
    Dołączył
    20-04-2007
    Skąd
    Królewskie Miasto Kraków
    Wpisy
    76
    Punkty
    10

    Domyślny

    No - testuję na świeżo - jestem po ataku.
    Wziąłem z logów kod hakjera i rzeczywiście pokazuje to:
    nazwa_konta_administratora:8a4d...........e4925fd: GeELbM.................8Pdeq2Yfk
    pytania jakie mam:
    1 - do czego jest ten dwukropek w środku? - przy próbie odkodowania na stronach - cześć z nich orientowała się, że to niewłaściwy kod i proponowała mi sprawdzenie tylko pierwszej części
    2 - zapewne nie jest to sprawą tego dodatku, ale - co sprawdziłem - wstrzyknięty kod podaje prawdziwą nazwę_konta_administratora. Wiem , że w bazie nie jest to nazwa zakodowana ani chroniona, tylko po co więc ją w ogóle zmieniać - co zalecają poradniki bezpieczeństwa - jeśli wstrzyknięty kod tą nazwę pokazuje?
    pozdrawiam
    abbadona

  7. 29-03-2010, 19:47


  8. 29-03-2010, 20:05


  9. 29-03-2010, 21:17


  10. #16
    Debiutant
    Dołączył
    18-10-2007
    Wpisy
    5
    Punkty
    10

    Domyślny

    Witam.

    Od jakiegoś czasu tworzę witryny z użyciem Joomla. Tym razem szczególny nacisk kładę na bezpieczeństwo.
    Taki dodatek to skarb. Zainstalowałem, ale nie mogę znaleźć, gdzie jest konfiguracja dodatku. Czy może bezpośrednio w pliko xml?
    Nie jestem aż tak doświadczonym adminem.
    Z góry dzięki za odpowiedź i pozdrawiam.

    towaldek

  11. #17

  12. #18
    Bahanetii
    Gość

    Domyślny

    Dodatek jest naprawdę fajny - dzięki - to za mało - poprostu COOL


    natomiast nasuwa mi się dygresja - tak długo jak mamy odczynienia z robotami - jest ok - natomiast jeśli siedzi po drugiej stronie człowiek możemy sobie zrobić kuku - ja osobiście hasło "Spadaj na drzewo" potraktowałbym jako obrazę i wyzwanie (elementy socjotechniki i NLP). Proponuję więc takie przekierowanie które będzie informowało o nie znalezieniu lub braku dostępu (osobiście polecam to pierwsze - zawsze w przekierowaniu możemy wpisać przypadkowy ciąg liczbowy po index.php? i przeglądarki "głupieją").
    Do zabezpieczeń polecam również dorzucenie modułu jSecure (co prawda płatny - jednak cena 4,99$ jest niską ceną za dodatkowy poziom zabezpieczenia) i rozwiązanie j.w. - trudno dobrać się do czegoś co nie istnieje (tylko w uzyskiwanej informacji)
    Co do konfiguracji jSecure dla Joomla'i 1.5.x polecam konfigurację na ścieżkę ukrytą (ukrywa nam dostęp do logowania admina od zaplecza) - po wpisaniu http://TwojaDomena/administrator przekierowuje klienta ciekawskiego na dowolne - wskazane przez Ciebie przekierowania - polecam "ślepe przekierowanie" z odpowiedzią przeglądarki - "Nie można odnaleźć strony sieci Web"
    Natomiast żeby uzyskać dostęp do logowania od zaplecza należy wpisać -
    http://TwojaDomena/administrator/?TwójSekretnyKod
    (w konfiguracji sekretny kod może się składać tylko z liter - nie należy używać cyfr i znaków specjalnych)
    w przypadku nie funkcjonowania ścieżki którą podałem powyżej należy użyć ścieżki w opcji poniżej
    http://TwojaDomena/administrator/index.php?TwójSekretnyKod
    Jeżeli macie obawy co do przypadkowego - trudno odwracalnego zamknięcia sobie dostępu proponuję wykorzystać fakt iż Joomla pozwala na jednoczesne zalogowanie wielu użytkowników z tymi samymi uprawnieniami - nie identyfikując czy przypadkiem nie jest to logowanie na tym samym koncie użytkownika (wada którą moim zdaniem należałoby usunąć na stałe z Joomla'i - doraźne rozwiązanie poniżej).
    No dobra - działa to tak
    Otwieramy w kompie FF i CHROME (może być naturalnie OPERA, IE itp)
    logujemy się od zaplecza Główny administrator i - w jednej zaciągamy i konfigurujemy jSecure - zapisujemy (uwaga nie zamykać zaplecza i przedłużyć sesję np do 60 minut podczas prób aby nas nie wylogowało automatycznie)
    W tym momencie otwieramy drugą (koniecznie!!! inną przeglądarkę/przy tej samej przeglądarce i dwóch oknach korzystamy z tego samego cash,a ) i próbujemy logować się normalną ścieżką Joomla'i - czyli http://TwojaDomena/administrator
    jeżeli nas przekierowuje to sprawę mamy prawie załatwioną. Następnie dokonujemy próby uzyskania dostępu do panelu logowania za pomocą ścieżki
    http://TwojaDomena/administrator/?TwójSekretnyKod
    jeżeli dalej nas przekierowuje to robimy to z wykorzystaniem struktury ścieżki
    http://TwojaDomena/administrator/index.php?TwójSekretnyKod

    i to by było na tyle,

    o kurcze - aż mnie korci żeby dorzucić jeszcze kilka słów:

    - tak sobie myślę że jeżeli zebrać:

    1. COOL dodatek Jolaass

    2. "Wymienić konto administratora" - jak pisał PeFik

    3.JSecure - ukrywanie panelu logowania backend, z ciekawostek - możliwość ograniczenia logowania z wykorzystaniem opcji ukrywania ścieżki admina tylko do zadeklarowanego IP (nie używać !!! tej opcji konfiguracji przy łączach z dynamicznym IP), zapis prób nieautoryzowanego dostępu, dodatkowe zabezpieczenie dostępu do konfiguracji komponentu za pomocą hasła, możliwość natychmiastowej informacji o próbach nieautoryzowanego dostępu via e-mail, zapis IP prób nieautoryzowanego dostępu.

    4.Duble login blocker - blokada podwójnego logowania w tym samym czasie, na tym samym koncie użytkownika

    5.Encrypt configuration - ukrywanie hasła admina algorytmem w czasie logowania

    6.RSFireWall - nazwa chyba sama wyjaśnia zastosowanie

    7.Block Password Reset - blokada resetowania hasła admina - UWAGA !!! - nie polecam osobom ze słabą pamięcią hasła - po instalacji nie można użyć zestawu "RATUJ ADMINA"

    i zarchiwizować używając;

    Akeeba

    dodałbym;

    Administrator icon module
    -konfiguracja auto-backup z zaplecza administratora

    sterowanie z poziomu kompa za pomocą Akeeba Remote Control

    wymagany po stronie joomla control remote plugin

    po wpadce, ataku lub zmianie hostu instalka w 5 minut używając kickstart,a

    - No i chyba mamy zabezpieczenie na całkiem fajnym poziomie
    No może to jeszcze nie Fort KNOX - jednak już nie kiosk RUCH,u

    Jak to widzicie, jak to czujecie?

    No i jeszcze jedno - za kilka dzionków postawię pustą witrynkę, tylko z zabezpieczeniami i prośbą do Was o wszystkie możliwe ataki które przyjdą Wam do głowy - dowiemy się wówczas jeszcze paru ciekawych rzeczy

    Jeżeli Macie jakieś pytania, uwagi, lub komentarze - z chęcią się zapoznam - warto się uczyć od innych
    Bahanetii
    Ostanio edytowane przez Bahanetii : 09-09-2010 23:59

  13. #19
    Bahanetii
    Gość

    Domyślny

    Super - dzięki
    Osobiście polecam dorzucenie JSecure i kodowanie hasła admina algorytmem
    Może to jeszcze nie Alcatraz, lecz na pewno już nie kiosk RUCH.
    Bahanetii

  14. #20
    Bahanetii
    Gość

    Domyślny

    dla mnie po prostu super i wielkie dzięki


    Tak sobie myślę że:
    jeżeli połączymy Twój dodatek SPADAJ
    z
    1.Plugin - Double login blocker
    2.JSecure

    3.Plug Block Password Reset

    4.zmienimy konto admina (ktoś to już proponował)

    5.Encryption Configuration
    oraz
    zarchwizujemy się przez
    Akeeba
    proponuję też automatyzację procesu poprzez moduł admina
    lub poprzez sterowanie z poziomu kompa - pamiętaj o zainstalowaniu dodatku
    Całościowo otrzymujemy całkiem przyzwoity poziom bezpieczeństwa witryny
    Może to jeszcze nie Fort Knox lecz również już nie świnka - skarbonka :-)
    Trafanon

Strona 2 z 5 PierwszyPierwszy 1234 ... OstatniOstatni

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •