Форум Joomla! Україна
  • Головна
  • Пошук
  • Користувачі
  • Команда форуму
  • Реєстрація
  • Увійти
    Увійти
    Ім’я користувача
    Пароль: Забули пароль?
     
  • Реєстрація
  • Увійти
Форум Joomla! Україна Веб-розробка Хостинг та домени Безпека сервера (хостингу) та сайту v
1 2 Наступне »
Питання безпеки


 
  • 0 голос(ів) - 0 у середньому
Питання безпеки
lhc
Не в мережі

Junior Member

Дописів: 7
Тем: 1
Приєднався: 04.12.2006, 04:24 PM
Репутація: 0
#1
04.12.2006, 04:40 PM
Піднімаю дане питання, тому що безпека сайту це досить боляче питання в теперішній час. Не подумайте що я якийсь школярик, що хоче стати крутим хакером, хоч і це поняття зараз сильно спотворено, просто зіткнувся з такою неприємною справою. Рахую що врахування безпеки тільки сприятиме розвитку проекту
Dutch
Не в мережі

Адміністратор

Дописів: 1,195
Тем: 58
Приєднався: 28.10.2006, 04:49 PM
Репутація: 4
#2
18.12.2006, 09:59 PM
Що саме цікавить у даному питанні?
Хостинг для Joomla | Joomla! Україна | Підтримайте проект Joomla! Україна пожертвуванням
Заробляйте гроші на своєму сайті через SAPE
lhc
Не в мережі

Junior Member

Дописів: 7
Тем: 1
Приєднався: 04.12.2006, 04:24 PM
Репутація: 0
#3
02.01.2007, 06:21 PM
joomla - проект з досить високим рівнем безпеки, але добре було б висвітлювати на сайті появу патчів та інше що стосується безпеки,  що зрозуміло повисить безпеку. Сподіваюсь що відвідувачам форуму буде про що сказати по цій темі
Dutch
Не в мережі

Адміністратор

Дописів: 1,195
Тем: 58
Приєднався: 28.10.2006, 04:49 PM
Репутація: 4
#4
02.01.2007, 07:41 PM
ОК!
Давайте піднімати!

Отже наведу деякі приклади безпеки, які залежать не від джумли, а від адміністратора:
1. cmod 0777 на файл конфігурації та на інші файли у корені сайту;
2. register_global ON
3. неоновлені розширення та розширення у яких не врахований register_global

Ось що веде до проникнення на ваш сайт хакера зі стажем в 1 місяць Smile

Сама ж джумла стабільна до хакерських атак!!!

Ну що давайте тоді почнемо у цьому топіку говорити про безпеку!
Хостинг для Joomla | Joomla! Україна | Підтримайте проект Joomla! Україна пожертвуванням
Заробляйте гроші на своєму сайті через SAPE
Elrond
Не в мережі

Junior Member

Дописів: 4
Тем: 1
Приєднався: 05.01.2007, 09:24 PM
Репутація: 0
#5
05.01.2007, 09:35 PM
по даній темі маю два питання:

1. Хто шо може сказати про SQL ін'єкції? Наскільки це реальна загроза длія Джумли ?

2. Де можна побачити доку (можемо навіть спільними зусиллями її перекласти на укр.) де детально б описувалися всі налаштування і сервера і самої Джумли, які гарантують не втруччання ? Чи повністю достатньо того, що описав Dutch ?
mr.Z
Не в мережі

Junior Member

Дописів: 46
Тем: 1
Приєднався: 17.11.2006, 04:56 PM
Репутація: 0
#6
06.01.2007, 02:51 PM
Особисто я відкрив для себе багато цікавого, переглядаючи теми, присвяченій безпеці, на російському форумі - joomlaforum.ru
inf4mi
Не в мережі

Member

Дописів: 119
Тем: 21
Приєднався: 24.01.2007, 09:04 AM
Репутація: 0
#7
25.04.2007, 03:20 PM
Elrond Написав:по даній темі маю два питання:

1. Хто шо може сказати про SQL ін'єкції? Наскільки це реальна загроза длія Джумли ?

і мені цікаво !
з цим можна якось боротися?
Вічні посилання для Вашого на сайту! Краще заплатити один раз! А дурень платить кожен місяць =)
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#8
06.06.2007, 11:12 PM
Тобто потрібно у globals php параметри встановити на "ON"?(
Код:
#  PHP register_globals установлена в `ON` вместо `OFF`
# Joomla! RG_EMULATION установлена в `ON` вместо `OFF` в файле globals.php
)
Це попередження динамічне чи статичне?
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#9
06.06.2007, 11:16 PM
Так правильно виставлені параметри?
Код:
/**
* Adds an array to the GLOBALS array and checks that the GLOBALS variable is
* not being attacked
* @param array
* @param boolean True if the array is to be added to the GLOBALS
*/
function checkInputArray( &$array, $globalise=false ) {
   static $banned = array( '_files', '_env', '_get', '_post', '_cookie', '_server', '_session', 'globals' );

   foreach ($array as $key => $value) {
      $intval = intval( $key );
      // PHP GLOBALS injection bug
      $failed = in_array( strtolower( $key ), $banned );
      // PHP Zend_Hash_Del_Key_Or_Index bug
      $failed |= is_numeric( $key );
      if ($failed) {
         die( 'Illegal variable <b>' . implode( '</b> or <b>', $banned ) . '</b> passed to script.' );
      }
      if ($globalise) {
         $GLOBALS[$key] = $value;
      }
   }
}

/**
* Emulates register globals = off
*/
function unregisterGlobals () {
   checkInputArray( $_FILES );
   checkInputArray( $_ENV );
   checkInputArray( $_GET );
   checkInputArray( $_POST );
   checkInputArray( $_COOKIE );
   checkInputArray( $_SERVER );

   if (isset( $_SESSION )) {
      checkInputArray( $_SESSION );
   }

   $REQUEST = $_REQUEST;
   $GET = $_GET;
   $POST = $_POST;
   $COOKIE = $_COOKIE;
   if (isset ( $_SESSION )) {
      $SESSION = $_SESSION;
   }
   $FILES = $_FILES;
   $ENV = $_ENV;
   $SERVER = $_SERVER;
   foreach ($GLOBALS as $key => $value) {
      if ( $key != 'GLOBALS' ) {
         unset ( $GLOBALS [ $key ] );
      }
   }
   $_REQUEST = $REQUEST;
   $_GET = $GET;
   $_POST = $POST;
   $_COOKIE = $COOKIE;
   if (isset ( $SESSION )) {
      $_SESSION = $SESSION;
   }
   $_FILES = $FILES;
   $_ENV = $ENV;
   $_SERVER = $SERVER;
}

/**
* Emulates register globals = on
*/
function registerGlobals() {
   checkInputArray( $_FILES, true );
   checkInputArray( $_ENV, true );
   checkInputArray( $_GET, true );
   checkInputArray( $_POST, true );
   checkInputArray( $_COOKIE, true );
   checkInputArray( $_SERVER, true );

   if (isset( $_SESSION )) {
      checkInputArray( $_SESSION, true );
   }

   foreach ($_FILES as $key => $value){
      $GLOBALS[$key] = $_FILES[$key]['tmp_name'];
      foreach ($value as $ext => $value2){
         $key2 = $key . '_' . $ext;
         $GLOBALS[$key2] = $value2;
      }
   }
}

if (RG_EMULATION == 0) {
   // force register_globals = on
   unregisterGlobals();   
} else if (ini_get('register_globals') == 0) {
   // php.ini has register_globals = off and emulate = on
   registerGlobals();
} else {
   // php.ini has register_globals = on and emulate = on
   // just check for spoofing
   checkInputArray( $_FILES );
   checkInputArray( $_ENV );
   checkInputArray( $_GET );
   checkInputArray( $_POST );
   checkInputArray( $_COOKIE );
   checkInputArray( $_SERVER );

   if (isset( $_SESSION )) {
      checkInputArray( $_SESSION );
   }
}
?>
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
Dutch
Не в мережі

Адміністратор

Дописів: 1,195
Тем: 58
Приєднався: 28.10.2006, 04:49 PM
Репутація: 4
#10
07.06.2007, 01:04 AM
Бу...
Хостинг для Joomla | Joomla! Україна | Підтримайте проект Joomla! Україна пожертвуванням
Заробляйте гроші на своєму сайті через SAPE
inf4mi
Не в мережі

Member

Дописів: 119
Тем: 21
Приєднався: 24.01.2007, 09:04 AM
Репутація: 0
#11
07.06.2007, 01:42 AM
то що відносно SQL ін'єкції?

з цим треба боротися особисто чи має хостер?
Вічні посилання для Вашого на сайту! Краще заплатити один раз! А дурень платить кожен місяць =)
Dutch
Не в мережі

Адміністратор

Дописів: 1,195
Тем: 58
Приєднався: 28.10.2006, 04:49 PM
Репутація: 4
#12
07.06.2007, 02:05 AM
Joomla! 1.0.12 на сьогодні стабільна.
Помилки які призводять до хакерських атак - це помилки адміністраторів сайту, які не слідкують за сайтом і допускають помилки які описані тут: http://joomla-ua.org/forum/index.php/topic,167.0.html
Хостинг для Joomla | Joomla! Україна | Підтримайте проект Joomla! Україна пожертвуванням
Заробляйте гроші на своєму сайті через SAPE
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#13
11.06.2007, 11:42 PM
Ще вичитав, потрібно зняти права на запис файлу configuration.php.
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
Dutch
Не в мережі

Адміністратор

Дописів: 1,195
Тем: 58
Приєднався: 28.10.2006, 04:49 PM
Репутація: 4
#14
12.06.2007, 12:52 AM
Я ж так і написав:

Код:
2. Права на файли CHMOD:

файлы      0664
папки       0775

це при хорошому розкладі б на всі треба було б робити Smile

але хоча б чмоди на кореневі файли виставте 0644
Хостинг для Joomla | Joomla! Україна | Підтримайте проект Joomla! Україна пожертвуванням
Заробляйте гроші на своєму сайті через SAPE
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#15
17.06.2007, 03:55 PM
Dutch, поясни будь-ласка,що таке "CHMOD".Це абривіатура певних файлів?
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
mr.Z
Не в мережі

Junior Member

Дописів: 46
Тем: 1
Приєднався: 17.11.2006, 04:56 PM
Репутація: 0
#16
17.06.2007, 04:01 PM
Це права доступу до файлів та папок.
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#17
17.06.2007, 04:16 PM
Ясно,а так не виникнуть проблеми з компонентами?
Ще одна проблемка:

У мене в кореневому каталозі 2 файли htaccess :
1 - .htaccess
2 - htaccess.txt

В першому при редагуванні не видно символів, а в другому строки "PHP register_globals" немає.
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
mr.Z
Не в мережі

Junior Member

Дописів: 46
Тем: 1
Приєднався: 17.11.2006, 04:56 PM
Репутація: 0
#18
17.06.2007, 05:41 PM
Другий файл - це просто рекомендовані налаштування від розробників Joomla! Можна його переіменувати і відкоректувати під себе.
Він ніяк не впливає на роботу сервера, працює лише просто .htaccess.
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#19
17.06.2007, 05:51 PM
В мене пустий .htaccess . Якщо в ньому прописати php_value register_globals 0 то внутрішня помилка серверу випадає. Я ще не стикався з цими файлами. Поясни пліз, що з ним треба робити якщо всередині він пустий.
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
Dutch
Не в мережі

Адміністратор

Дописів: 1,195
Тем: 58
Приєднався: 28.10.2006, 04:49 PM
Репутація: 4
#20
17.06.2007, 06:51 PM
http://joomla-ua.org/forum/index.php/topic,167.0.html

php_value register_globals 0
заміни на
php_value register_globals off

А краще стягни останню версію джумли (1.0.12)
Видали всі файли із різним розширенням htaccess
З дистрибутиву закачай на сервер htaccess.txt та переіменуй його на .htaccess (зверни увагу перед htaccess повинна стояти крапка!!!)

Далі відкрий файл у блокноті та перед текстом закинь параметр:
php_value register_globals off

От і все!
Хостинг для Joomla | Joomla! Україна | Підтримайте проект Joomla! Україна пожертвуванням
Заробляйте гроші на своєму сайті через SAPE
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#21
17.06.2007, 09:39 PM
Мені хостер скинув файл php.ini, сказав, що через нього я зможу настроїти все,що потрібно.Як саме можна його настроїти , щоб вирішити питання register_globals - on?Бо з htaccess не виходить.
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
inf4mi
Не в мережі

Member

Дописів: 119
Тем: 21
Приєднався: 24.01.2007, 09:04 AM
Репутація: 0
#22
18.06.2007, 10:51 AM
Adaman Написав:Мені хостер скинув файл php.ini, сказав, що через нього я зможу настроїти все,що потрібно.Як саме можна його настроїти , щоб вирішити питання register_globals - on?Бо з htaccess не виходить.

в мене тех так було -  але так нічого не вийшло.

я їм написав - щоб вони там в себе  самі вручну зробили -  тоді вийшло.
Вічні посилання для Вашого на сайту! Краще заплатити один раз! А дурень платить кожен місяць =)
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#23
18.06.2007, 11:24 AM
А що саме треба їм в листі написати - виставити праметри register_globals - off на самому сервері?І в тебе зникли потім всі повідомлення в адмінці?Можна як можна докладніше про це діло будь-ласка?
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
mr.Z
Не в мережі

Junior Member

Дописів: 46
Тем: 1
Приєднався: 17.11.2006, 04:56 PM
Репутація: 0
#24
18.06.2007, 04:03 PM
От питання. А що хостер сказав потім з файлом робити?
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#25
18.06.2007, 04:22 PM
"Настроить под свои нужды" Smile
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
mr.Z
Не в мережі

Junior Member

Дописів: 46
Тем: 1
Приєднався: 17.11.2006, 04:56 PM
Репутація: 0
#26
18.06.2007, 06:01 PM
Це ясно, а потім? Скинути його назад, перемістити в спеціальну папку на сервері?..
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#27
18.06.2007, 06:10 PM
Добре я спитаю що з ним робити,думав тільки я не знаю.
Мені його в public_html скинули і все.Можу викласти сюди якщо цікаво зміст файлу.
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
inf4mi
Не в мережі

Member

Дописів: 119
Тем: 21
Приєднався: 24.01.2007, 09:04 AM
Репутація: 0
#28
18.06.2007, 09:28 PM
Як на мене - те що скинув тобі хостер php.ini - то все фігня.
Типу треба робити так - панель адміністрування - DirectAdmin
1 крок
http://www.kostopil.eu/download/1.JPG[/img]
2 крок
http://www.kostopil.eu/download/2.JPG[/img]

але я так робив - то все не паше.

просто пишеш чувакам на хостер - мені треба register_globals off
і хай  ставлять вручну.
Вічні посилання для Вашого на сайту! Краще заплатити один раз! А дурень платить кожен місяць =)
shaman
Не в мережі

Модератор

Дописів: 287
Тем: 44
Приєднався: 07.05.2007, 07:44 PM
Репутація: 0
#29
19.06.2007, 04:47 PM
Цитую зворотній лист хостера:
1. Файл должен называться не ini.php, а php.ini (це я переплутав місцями)
2. php_flag работать на наших серверах не будет всё равно
3. просто в данном файле опцию register_globals поменяйте в значение
   Off, это осуществляется в любом текстовом редакторе на Вашем
   локальном компьютере.
Вручну все на офф встановив - а що далі?Адмінка всеодно "червона" Sad
Ось цей файл...

[вкладення вилучене Адміністратором]
BitsyBay - Магазин авторських розширень за BitCoin | OpenCart - Україна | Fork me on Github
Dutch
Не в мережі

Адміністратор

Дописів: 1,195
Тем: 58
Приєднався: 28.10.2006, 04:49 PM
Репутація: 4
#30
19.06.2007, 05:48 PM
Із ситуації, я так розумію, що у тебе хостер
http://hostpro.com.ua/

Вони дають можливість налаштовувати не тільки htaccess, але і php.ini

У багатьох хостерів php.ini не доступне, і тому можно юзати (навіть треба)  htaccess!!!

Smile
Хостинг для Joomla | Joomla! Україна | Підтримайте проект Joomla! Україна пожертвуванням
Заробляйте гроші на своєму сайті через SAPE
« Попередня | Наступна »

Переглядають цю тему: Гості: 1

Сторінок (2): 1 2 Наступне »


  • Версію для друку
  • Підписатися на цю тему
Швидкий перехід:

  • Команда форуму
  • Зв’яжіться з нами
  • Joomla! Україна
  • Повернутись на початок
  • Легкий режим
  • Позначити всі форуми прочитаними
  • RSS канал
Лінійний режим
Каскадний режим