xntx
хнотик-багоискатель | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору look Цитата: Ну выбор пал на этот форум потому что у него: 1) Широкие настройки по изменению дизайна 2) Надежный, проверенный временем 3) Безопасный | все тоже есть у phpBB. дыр кстати насколько я помню уже две версии не появлялось... ну найти еще конечно может и можно, но помоему с бОльшим успехом их можно найти в vBulletin, так как он не бесплатный, и в нем не столько людей искало дыры... все конечно ИМХО Цитата: А есть ли такие грамотные люди, которые за определенную плату могли бы поднять безопастность моего форума? | да что ее поднимать... меняешь расширение всех файлов на .pl и пишешь в футере вместо phpBB 2.0.10, просто phpBB 2. второе спасает от того, что когда выйдет новая дыра то тебя не найдут в гугле по строке "Powered by phpBB 2.0.10", тоесть уже убиваются попытки влома теми кулхацкерами которые начитавшись securitylabs.ru раньше тебя, бегут в гугль дифейсить страницы.. меняешь расширение файлов => убиваешь те 50% кулхацкеров которые даже не додумаются в эксплоите поменять расширение файла %) в ОБЯЗАТЕЛЬНОМ порядке ставим пароль через .htaccess на папку /admin/, пароль можно простенький типа MyAdminPassword, зато когда найдут дыру в /admin/admin_templates.php или чето в этом роде, то будет большой облом немочь к нему добраться %) на папки includes и language ставим Deny from All, ставим на ошибку 403 файл notfound.php содержимое которого такое: Код: <?php header ('HTTP/1.1 404 Not Found'); exit; ?> | все, теперь эту папку никто не найдет... понятное дело закидываем туда config.php и extension.inc от тупого брутфорса пароля добавляем в начало login.php такую незадачливую строчку: Код: Я думаю после того как юзер увидит скорость 100 passowrds / second из 10000000 вариантов, он сразу отвалит. делаем замену символов в md5() хешировании. так, чтобы если даже атакующий получит доступ к базе и к хешам, то они ничем не помогут. и так можно продолжать список, главное иметь фантазию и уметь понимать код на php который написали девелоперы (кстати хорошо пишут, если их ктото не понимает, значит он вообще в php не шарит, там комменты на каждом углу)
|