|
Autor |
Sõnum |
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
Ma leidsin, kuidas kataloog kaista, kuid lubatud IP-de lisamine on ainult läbi selle sama Zone WebFTP liidese. Ehk tuhandeid IP-sid läbi selle lisada .....
Ja seda genereeritud htaccess faili - seda ei saa ka ise muuta, et direktiive lisada vms.
sander - võid ise ka proovida. Ma katsetasin elug.pingviin.org domeeni peal ja seda korralikult lukku mul panna ei õnnestunud.
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
urmas
Pingviini kasutaja
Vanus: 46
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo
|
|
Niipalju infoks, et tix'i list pole täielik (ntx peaks sealt olema puudu elion ja veel üht-teist), samas ise ehitasin oma masinatele sellega ssh reeglistiku ja peale seda on igast rünnete osas tunudvalt rahulikum.
|
|
|
|
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
Osad, kui mitte kõik, Elioni IP'de võrgud on seal kindlasti olema.
|
|
|
|
_________________ Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
pingviin
Pingviini kasutaja
Vanus: 43
Liitunud: 26.07.2005
Postitused: 52
Distributsioon: Open Suse 11.3
|
|
Pole küll kursis, mis on selle portaali mootori võimalused, aga mõned etepanekud, mida võiks kaaluda, turvalisuse tõstmiseks tuleviku tarbeks:
1. Kasutajate nimekiri kättesaadavaks ainult sisseloginud kasutajatele, kes on teinud vähemalt 1 postituse. Portaal on küll eesti keeles, aga urlist http://pingviin.org/memberlist.php järeldub, et kõikidel sama mootoritega foorumitel on see sama koha peal. See on ka koht, kust see exploit neid kasutajaid hangib, lisaks saab sealt teada veel ka maili adresi Sama reegel kasutaja profiilide vaatamisega. Lisaks kasutaja värvid neid poleks ka vaja promoda enn, kui sisselogitud ja 1 postitus tehtud.
2. GET meetodi asemele võiks kasutajatega seotud toimingutes nagu näiteks kasutajate nimekiri, profiil ning postiused foorumis kasutada POST meetodit. See eeldab arvatavasti väheke progemist ja katsetamist. Idee on selles, et siseloginud, kui ka sisselogimata rahval pole tarvis teada, kasutaja paiknemist andmebaasis. GET seda võimaldab ning lisaks võimaldab suht lihtsasti kirjutada scripti, korjamaks kokku kõik kasutajad ning võimaldab GET väga lihtsasti kolmandalal poolel saada ligi infole, mida ta ei peaks teadma. Näiteks nimekirja esimene kasutaja on Suvi samas GET meetot räägib, et Suvi on nimekirjas alles teine (profile.php?mode=viewprofile&u=2). Ründaja järeldab sellest, kas esimene kasutaja on kustutatud, või asub seal veel kõvem superuser, et äki prooviks vaadata, mida teha saab!
3. Sisse logimata kasutajatele ei tohiks näidata ühtegi lingitut kasutajat. Kes iganes on kuskil miskit postitanud selle kasutaja nime peaks olema plain text või veel parem pesudokasutaja ala killbill või tux666
Midagi sellist
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
praeguseks peaks see probleem vähemalt mõneks ajaks lahendatud olema..
@ GET vs POST päringud.. POST päring tähendab seda, et kui tahad brauseriga edasi või tagasi liikuda navi nuppudega, siis hakatakse sulle esitama küsimusi, et kas tahad ikka andmed uuesti saata.. on meil seda nagu tegelikult ka vaja kasutaja peedistamiseks?
|
|
|
|
_________________
|
|
|
|
|
|
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group
|
|