ShopWorld
Вернуться ShopWorld > Статьи и обсуждение > Безопасность
 

Ответ
 
Опции темы Опции просмотра
 
Старый 30.03.2012, 18:06   #1
tickhack
Banned
Неадекват!
 
Аватар для tickhack
 
Регистрация: 27.03.2012
Сообщений: 16

Сказали спасибо: 11
Уязвимости vBulletin

Если Вы держите свой vbulletin форум, то рано или поздно приходится думать о защите Вашего форума.

Начнем:

1) Апдейтимся в самый конец своей линейки(3.5.х,3.6.х,3.7.х)

Описание: -

Почему?: JelSoft постоянно закрывает всплывшие уязвимости.

2) Переименовываем админку и модерку

Описание: Переименовываем админку, но в конфигурации ни в коем случае не пишем путь к нашей переименованной админке. Также переименовываем модерку, но её уже можно прописать в конфигурации(хотя тоже не желательно), так как она менее уязвима

Почему?: Если переименовать админку и не указать путь в конфигурации, то будет гораздо сложнее её найти и следовательно применить XSS или еще что похуже. Есть минусы: - редактирование профиля и добавление модераторов перестанут работать без ручной правки ссылок.

3) Ставим .htaccess на админку:

Описание:
a) если ip статичен, то
Код:
order allow, deny
deny from all
allow from you.ip.add.res
b) Также ставим дополнительный пароль:

Идём по ссылке: _http://vbsupport.org/htaccess.php, заполняем поля и дописываем по инструкции в наш файл htaccess.

Почему?: Дополнительное паролирование админки никогда не помешает.


4) Удаляем файлы и папки:

Описание:
a) Удаляем файлы:
/validator.php(если имеется)
/checksum.md5(если имеется)
b) Удаляем папки:
/install/

Почему?: Небезопасные файлы от нулёных версий могут дать возможность просматривать список файлов, а также папка install очень вредная=)


5) Перемещаем вложения и аватары

Описание:
Идем в админку, далее:
a) Вложения -> Метод хранения вложений
Вложения должны храниться в базе данных
Цитата:
Сейчас вложения сохраняются в базе данных
, если это не так, то переносим их туда с помощью кнопки 'Вперед'.
b) Аватары -> Тип хранения изображений пользователя
Аватары должны храниться в базе данных
Код:
Сейчас изображения хранятся в базе данных
, если это не так, то переносим их туда с помощью кнопки 'Вперед'.
конфигурации хостинга, давало шанс залить через это шелл.

6)Выставляем права на папки

Описание: Если выполнен пункт 5), то теперь смело ставим права на папки custom***** 644, так как они нам тепеорь не нужны(или можете их удалить). Дальше, если Вы устанавливали vbulletin по инструкции, у вас все папке в /(корне) должны иметь права 644. Проверьте это, если не так, то выставите права 644.

Почему?: Затрудняем хакеру заливку шелла.


7) Нигде, никогда, никому не включаем опцию 'Разрешить html'.


Описание: -

Почему?: Возможность XSS атак при включенной функции.

8) Ставим .htaccess на папку includes

Описание: Ставим .htaccess на папку includes следующего содержания:
Код:
order allow, deny
deny from all
Почему?:
- если туда каким-либо образом зальют шелл, то не смогут зайти на него.
- если вас будут ддосить, то возможен такой вариант, когда интерпретатор php отваливается и остается только апач - и апача разрешает уже читать файлы php - следовательно можно будет прочитать все файлы из папки /includes/ - тот же config.php, что не очень хорошо.

9) Пихните в дир. с файлами, на которых стоят атрибуты 0777 такой хтаксесс: - (c) kerk _http://vbsupport.org/forum/member.php?u=30

Описание:
Код:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml
<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\ .sht m l">
Order allow,deny
Deny from all
</Files>

добавить своих хэндлеров, если необходимо
все, в этой директории никакой из перечисленных скриптов, выполнить нельзя

Почему?: -

----------

Небольшой итог:

доступ к админке получить достаточно сложно - следовательно залить шелл через админку тоже, значит можно залить шелл через уязвимости воблы, но если лить в инклуды - там есть для некоторых хаков файлы, которые требуют 777- то у нас на папке includes стоит deny from all - шелл не заюзать!

а на остальные папки можно ставить права 644, если проделали все пункты - тогда достаточно сложно будет залить при правильной настройке chroot'инга(или как его там- на не совсем трезвую голову вылетело слово)...

также добавилась защита от самих админов, которые лазают где не попадя, тем самым сажая себя на XSS'ки и трояны.
tickhack вне форума  
Сказали 'Спасибо' за это сообщение.
Ответить с цитированием
Внимание посетители ShopWorld.biz
                                       У нас проводится Набор модераторов.
                                       Правила раздела: Покупка / Продажа / Обмен / Услуги
                                       Проверка ваших тем администрацией.(Раздел "Торговля")
                                       Пожелания по работе форума и Реклама на форуме.
                                       Советуем заглянуть вам в раздел Торговля и Статьи и обсуждение или World navigation
                                       Для связи с администрацией пишите в icq: 6506666 или в ЛС.
                                       Администрация не несет ответственности за причиненный вред пользователям и от других пользователей(пользуйтесь гарантом),
                                       Все материалы размещенные на сайте предоставленны в ознакомительных целях.
                                       Ап темы в разделе Покупка / Продажа / Обмен / Услуги раз в 5 дней, как апать тему читаем тут.
Старый 30.03.2012, 18:24   #2
admini
Посетитель
 
Аватар для admini
 
Регистрация: 01.03.2011
Сообщений: 1

Сказали спасибо: 0
Цитата:
Перемещаем вложения и аватары
Достаточно прикрыть аксесом директорию с файлами. Забыл уточнить у [img] есть xss, следовательно админам нужно сидеть в режиме без показа картинок

// hime~
admini вне форума  
Сказали 'Спасибо' за это сообщение.
Ответить с цитированием
Старый 30.03.2012, 18:29   #3
tickhack
Banned
Неадекват!
 
Аватар для tickhack
 
Регистрация: 27.03.2012
Сообщений: 16

Сказали спасибо: 11
Цитата:
Сообщение от admini Посмотреть сообщение
Достаточно прикрыть аксесом директорию с файлами. Забыл уточнить у [img] есть xss, следовательно админам нужно сидеть в режиме без показа картинок

// hime~
XSS есть не во всех версиях. Я знаю форумы где показ картинок включён и скрипт в [img] не срабатывает.
tickhack вне форума  
Сказали 'Спасибо' за это сообщение.
Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Продам: Услуга по vbulletin -Razer Вне категорий 1 28.01.2012 20:07
Secunia так же будет выплачивать деньги за уязвимости .prov1rus Новости из хак индустрии 0 04.11.2011 00:13
Google заплатила $13,6 тыс россиянину за найденные уязвимости в Chrome .prov1rus Новости из хак индустрии 0 28.10.2011 18:03
Корпорация Microsoft сообщила об обнаружении критически опасной уязвимости в операцио †SHYLLER†™ Новости из хак индустрии 0 03.02.2011 01:35
Директор по безопасности Apple призвал ввести налог на уязвимости †SHYLLER†™ Новости из хак индустрии 0 01.02.2011 19:58


Текущее время: 06:31. Часовой пояс GMT +5.

Автор ShopWorld: †SHYLLER†
Яндекс.Метрика