xntx
хнотик-багоискатель | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
look
Цитата: Ну выбор пал на этот форум потому что у него:
1) Широкие настройки по изменению дизайна
2) Надежный, проверенный временем
3) Безопасный |
все тоже есть у phpBB. дыр кстати насколько я помню уже две версии не появлялось... ну найти еще конечно может и можно, но помоему с бОльшим успехом их можно найти в vBulletin, так как он не бесплатный, и в нем не столько людей искало дыры... все конечно ИМХО
Цитата:| А есть ли такие грамотные люди, которые за определенную плату могли бы поднять безопастность моего форума? |
да что ее поднимать... меняешь расширение всех файлов на .pl и пишешь в футере вместо phpBB 2.0.10, просто phpBB 2.
второе спасает от того, что когда выйдет новая дыра то тебя не найдут в гугле по строке "Powered by phpBB 2.0.10", тоесть уже убиваются попытки влома теми кулхацкерами которые начитавшись securitylabs.ru раньше тебя, бегут в гугль дифейсить страницы..
меняешь расширение файлов => убиваешь те 50% кулхацкеров которые даже не додумаются в эксплоите поменять расширение файла %)
в ОБЯЗАТЕЛЬНОМ порядке ставим пароль через .htaccess на папку /admin/, пароль можно простенький типа MyAdminPassword, зато когда найдут дыру в /admin/admin_templates.php или чето в этом роде, то будет большой облом немочь к нему добраться %)
на папки includes и language ставим Deny from All, ставим на ошибку 403 файл notfound.php содержимое которого такое:
Код: <?php
header ('HTTP/1.1 404 Not Found');
exit;
?> |
все, теперь эту папку никто не найдет... понятное дело закидываем туда config.php и extension.inc
от тупого брутфорса пароля добавляем в начало login.php такую незадачливую строчку:
Код:
Я думаю после того как юзер увидит скорость 100 passowrds / second из 10000000 вариантов, он сразу отвалит.
делаем замену символов в md5() хешировании. так, чтобы если даже атакующий получит доступ к базе и к хешам, то они ничем не помогут.
и так можно продолжать список, главное иметь фантазию и уметь понимать код на php который написали девелоперы (кстати хорошо пишут, если их ктото не понимает, значит он вообще в php не шарит, там комменты на каждом углу)
|
Я ни разу ничего по кредит-картам не покупал... 
