Security guide for mu web 0.8

In jos

Security guide for mu web 0.8

Mesaj Scris de Hyena la data de Joi Apr 08, 2010 2:09 pm

-Pentru inceput instalati XAMPP-ul.
-Faceti urmatoarele:


*
Deschideti C:\xampp\apache\bin\php.ini

* Cautati safe_mode = off si modificati cu safe_mode =
on

* Cautati safe_mode_gid = off si
modificati cu safe_mode_gid = on



Deci... in prim-ul rand va voi explica care sunt "gaurile"
(bug-urile) muweb-ului 8.0.


# Name | How to fix
Cod:
-
includes/search_acc_admin.php | Delete
-
includes/search_chr_admin.php | Delete
- includes/search_ip_admin.php
| Delete
- administrator.php | Rename-Explicatia mai jos
-
Administrator | Rename-Explicatia mai jos
- Modules/User/ALL FILES |
Anti-SQL-Code-Mai jos
- Modules/search.php | Delete
-
Modules/register.php | Anti-SQL-Code-Mai jos
- Modules/statistics.php
| Delete-Asta pana gasesc alta solutie.


//
Si inca cateva chestii din modules... care trebuie protejate prin codul
anti inject , cele pe care le puteti edita sunt deja aici.

* De
obicei uni dintre voi bagati codul anti-inject in index.php ceea ce nu
mereu are efect , cel mai bine si mai sigur se introduce in config.php!



*
Anti-SQL-Injection , efficient 100%


Cod:
<?php
$ip
= $_SERVER['REMOTE_ADDR'];
$time = date("l dS of F Y h:i:s A");
$script
= $_SERVER[PATH_TRANSLATED];
$fp = fopen
("D:/MuServer/[WEB]SQL_Injection.txt", "a+");

$sql_inject_1 =
array(";","'","%",'"'); #Whoth need replace
$sql_inject_2 = array("",
"","","""); #To wont replace
$GET_KEY = array_keys($_GET); #array
keys from $_GET
$POST_KEY = array_keys($_POST); #array keys from
$_POST
$COOKIE_KEY = array_keys($_COOKIE); #array keys from $_COOKIE
/*begin
clear $_GET */
for($i=0;$i<count($GET_KEY);$i++)
{
$real_get[$i]
= $_GET[$GET_KEY[$i]];
$_GET[$GET_KEY[$i]] =
str_replace($sql_inject_1, $sql_inject_2,
HtmlSpecialChars($_GET[$GET_KEY[$i]]));
if($real_get[$i] !=
$_GET[$GET_KEY[$i]])
{
fwrite ($fp, "IP: $ip\r\n");
fwrite
($fp, "Method: GET\r\n");
fwrite ($fp, "Value: $real_get[$i]\r\n");
fwrite
($fp, "script: $script\r\n");
fwrite ($fp, "Time: $time\r\n");
fwrite
($fp, "==================================\r\n");
}
}
/*end
clear $_GET */
/*begin clear $_POST */
for($i=0;$i<count($POST_KEY);$i++)
{
$real_post[$i]
= $_POST[$POST_KEY[$i]];
$_POST[$POST_KEY[$i]] =
str_replace($sql_inject_1, $sql_inject_2,
HtmlSpecialChars($_POST[$POST_KEY[$i]]));
if($real_post[$i] !=
$_POST[$POST_KEY[$i]])
{
fwrite ($fp, "IP: $ip\r\n");
fwrite
($fp, "Method: POST\r\n");
fwrite ($fp, "Value: $real_post[$i]\r\n");
fwrite
($fp, "script: $script\r\n");
fwrite ($fp, "Time: $time\r\n");
fwrite
($fp, "==================================\r\n");
}
}
/*end
clear $_POST */
/*begin clear $_COOKIE */
for($i=0;$i<count>
?>



*
Desigur il bagati la inceput-ul liniei din config.php

**
Acest script creaza automat in D:/MuServer un fisier cu log-urile
website-ului , adica toate ip-urile ce au incercat sa va dea inject sau
sa va "hacereasca" Laughing website-ul , fila se numeste
[WEB]SQL_Injection.txt .



*
Secure Administrator:



1.
-Deschide
administrator.php cu notepad, apasa Ctrl+H sau dute in Edit >
Replace...
-La Find what bagati: administrator , la Replace with
bagati: orice alt cuvant sau 2 cuvinte sau cate vreti legate de "_"
exemplu (Server_Admin sau ServerAdmin , nu folositi "-" !!! ) si dati
OK.


* Redenumeste adminsitrator.php in ce ai
bagat mai sus in loc de administrator, exemplu (In loc de
administrator.php vei pune Server_Admin.php)

2.
-Intra in
folder-ul administrator unde vei cauta "administrator" fara " ca in
exemplele de mai sus punand acelasi nume ca si mai sus exemplu
(Server_Admin) mai jos aveti o lista cu fisierele pe care trebuie sa le
editati.



<blockquote>- .htaccess > Nu
-
downloads.php > Da
- editaccount.php > Da
-
editcharacter.php > Da
- events.php > Da
- findip.php >
Nu
- logs.php > Nu
- news.php > Da
- server.php > Da
-
webshop.php > Da
- website.php > Da
</blockquote>


*
Acum redenumeste folder-ul administrator in ce ai folosit pana acum
exemplu (Server_Admin)


3. Ultim-ul pas:
-
Dute in includes/admin_functions.php si inlocuieste administrator cu ce
ai folosit mai sus, exemplu (Server_Admin) .
- Dute in
includes/admin_modules.php si inlocuieste administrator cu ce ai folosit
mai sus, exemplu (Server_Admin) .
avatar
Hyena
Admin

Mesaje : 236
Data de inscriere : 12/03/2010
Varsta : 23

Vezi profilul utilizatorului http://bluegame.forumers.ro

Sus In jos

Re: Security guide for mu web 0.8

Mesaj Scris de Rimaru la data de Sam Iul 10, 2010 8:50 am

buna treaba...
avatar
Rimaru

Mesaje : 36
Data de inscriere : 14/03/2010

Vezi profilul utilizatorului

Sus In jos

Sus


 
Permisiunile acestui forum:
Nu puteti raspunde la subiectele acestui forum