Сборник рекмендаций по безопасности phpBB

Проблемы с установкой или работой phpBB 2.0.x? Ищите ответы здесь!
antd2000
phpBB 1.4.2
Сообщения: 56
Стаж: 20 лет 3 месяца

Сборник рекмендаций по безопасности phpBB

Сообщение antd2000 »

Давайте может быть сборничек такой соорудим ?
Вот пока что я собрал, прошу добавить и уточнить.

1.Установить в конфигурации сервера register_globals в off.
В корневом каталоге форума создаем .htaccess с таким содержанием:
php_flag register_globals off
( Защита от подстановки некорректных значений переменных в строке запроса: SQL инъкции и прочая нехорошесть )

ВОПРОС: всегда ли phpBB будет работать при register_globals off ?
Были ли у кого проблемы с модами при этом (конкретно - File Attachment MOD и MobyThreads MOD) ?


2. Смена префикса таблиц phpBB.
При установке или после (см статью).
Если хакеры доберутся до SQL-ля , то пусть поломают голову, как мои таблицы называются :)

ВОПРОС: Были ли у кого проблемы с модами при этом (конкретно - File Attachment MOD и MobyThreads MOD) ? Нужно ли править так же и скримты модов ?


3. Каталоги tmp, files, avatars - права 0777
Другие каталоги - 0755
Скрипты - 0664
config.php - 0444

4. Защитить папку с админсикми скриптами дополнительно через http -авторизацию (.htaccess)

5. Что еще ? :)
Вернуться к началу
Аватара пользователя
Vladson
Former team member
Сообщения: 816
Стаж: 21 год
Откуда: Estonia, Tallinn

Сообщение Vladson »

ВОПРОС: всегда ли phpBB будет работать при register_globals off ?
Были ли у кого проблемы с модами при этом (конкретно - File Attachment MOD и MobyThreads MOD) ?
Не было, и не должно было быть
5. Что еще ?
Не заходить под админским акаунтом без лишней необходимости, а сидеть под модераторским
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
Вернуться к началу
spicher
phpBB 1.0.0
Сообщения: 7
Стаж: 20 лет 3 месяца
Откуда: Spb

Сообщение spicher »

Установить в конфигурации сервера register_globals в off.
а зачем? при включееных глобалях будет просто $var при выключенных $_post/$_get[var] и ничего более...
Вернуться к началу
Аватара пользователя
Vladson
Former team member
Сообщения: 816
Стаж: 21 год
Откуда: Estonia, Tallinn

Сообщение Vladson »

а зачем?
Чтоб всякие кул-хацкеры и недо-ламеры не лазили без разрешения в администраторский раздел
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
Вернуться к началу
spicher
phpBB 1.0.0
Сообщения: 7
Стаж: 20 лет 3 месяца
Откуда: Spb

Сообщение spicher »

Чтоб всякие кул-хацкеры и недо-ламеры не лазили без разрешения в администраторский раздел
Если комуто будет очень надо то и с вырубленными глобалями влезут)))
Вернуться к началу
Аватара пользователя
Vladson
Former team member
Сообщения: 816
Стаж: 21 год
Откуда: Estonia, Tallinn

Сообщение Vladson »

А если кому то будет не надо, а просто попробовать ? (почитает на каком нибудь сайте как грохнуть вам форум, и грохнет...)
Меня так один админ на понт взял, говорит "спорим ты ламер и не хакнеш" и через некоторое время я ему в ЛС его пароль выслал (а хотелось грохнуть ему форум, очень хотелось) а между тем всё что надо было сделать это глобали вырубить (дыра в faq.php в версии 2.0.8 )
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
Вернуться к началу
Аватара пользователя
YarNET
phpBB 2.0.6
Сообщения: 518
Стаж: 20 лет 5 месяцев

Сообщение YarNET »

В дирикторию files
.htaccess
Siava писал(а):

Код: Выделить всё

<files *.php>
    Order Deny,Allow
    Deny from all
</files>
Options -Indexes -ExecCGI -Includes
Проверь, за что ты платишь деньги провайдеру?
Тестирование скорости соединения с INNTERNET
Вернуться к началу
4upuk

Сообщение 4upuk »

antd2000
ВОПРОС: всегда ли phpBB будет работать при register_globals off ?
Были ли у кого проблемы с модами при этом (конкретно - File Attachment MOD и MobyThreads MOD) ?
У меня на хосте это вызывало ошибку 500, тк
служба поддержки писал(а): У нас пхп подключен, как сги, а не как модуль апача.
Так что - ни чего странного нет.
ВОПРОС: Были ли у кого проблемы с модами при этом (конкретно - File Attachment MOD и MobyThreads MOD) ? Нужно ли править так же и скримты модов ?
С аттачем проблемы вроде как...
потому как у меня в ЛС выдает ошибку
Общая ошибка

Could not query Attachment Informations

DEBUG MODE

SQL Error : 1146 Table '****.****_attachments' doesn't exist

SELECT a.attach_id FROM ****_attachments a, ****_privmsgs p WHERE (a.user_id_2 = 2) AND a.privmsgs_id <> 0 AND a.privmsgs_id = p.privmsgs_id AND p.privmsgs_type <> 2

Line : 663
File : /home/omskteam/public_html/forum/attach_mod/includes/functions_attach.php
странно однако... есть мысли ? :)

Добавлено спустя 5 минут 25 секунд:

туплю :) полез в пхпадмин :)

Добавлено спустя 33 минуты 42 секунды:

ну вобщем после оипаного в статье скрипта замустил его же, но с другим массивом таблиц - аттачевских:

Код: Выделить всё

<?php 

$pref_old = 'phpbb_'; 
$pref_new = 'omteform_'; 

define('IN_PHPBB', true); 
$phpbb_root_path = './'; 
include($phpbb_root_path . 'extension.inc'); 
include($phpbb_root_path . 'common.'.$phpEx); 

$tables = array('attach_quota', 'attachments', 'attachments_config', 'attachments_desc', 'confirm', 'extension_groups', 'extensions', 'quota_limits', 'forbidden_extensions'); 

foreach ($tables as $table) 
{ 
   $sql = 'ALTER TABLE ' . $pref_old . $table . ' RENAME ' . $pref_new . $table; 
       
   if (!$db->sql_query($sql)) 
      { 
            $res = $db->sql_error(); 
            echo "Failed: $res[message]"; 
            exit; 
      } 
} 

echo 'Completed succesfully!'; 
exit; 

?>
теперь все ок... как и должно быть :)
Вернуться к началу

Вернуться в «Поддержка phpBB 2.0.x»