olegk
Newbie | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Преамбула - форум стоит в интрасети. Пользователей - человек 40. Пара повадилась ломать. Дело хорошее - хоть найдут дырки и я их прикрою :) Но вот такую проблему никак не соображу как решить - может кто поможет...
Проблема состоит в следующем:
ipb хранит в куках pass_hash. Энти хацкеры сделали в сетке у себя тоже сервак и когда народ к ним заходил, получили куки народа (как - не знаю, но думаю, это возможно. А может они и вообще не так их получили, но что получили - факт). Далее заимев hash, они ухитряются подменять при работе с форумом куки и действовать от имени других пользователей... Действия могут выполнять любые, доступные этим пользователям. В частности, действия модераторов. Но это я фиксировал в логах форума и видел.
Теперь они как-то научились выполнять действия, не используя панель управления модератора или еще кого, а напрямую, отсылая http-запросы серверу, вроде так. В общем, они что-то делают, но в логах это не фиксируется... Только в логе сервера видны все их запросы. Я так понимаю, они используют hash для получения кода сессии и далее используют этот код для дальнейшей работы (вызов функций и пр.)
Это история проблемы.
Мне видится такое решение - надо как-то запретить нахождение hash в куках, или чтобы этого было недостаточно, чтобы получать код сессии. Пусть даже народ, закрывая баузер, будет принудительно отлогиниваться (мне кажется, это основная причина хранения hash в куках), но чтобы его нельзя было перехватить. Или чтобы кроме номера сессии контролировался еще какой параметр, например IP. Или как решить-то проблему?
Или может я что напутал и проблема вовсе не в этом? Но то, что пара человек может делать разные вещи от имени других людей и по логам апача я вижу, что они при этом используют идентификаторы сессий других людей и знаю, что они имеют pass_hash многих пользователей форума - это точно...
Помогите плз, хотя бы идеями... |
