Witamy na polskim forum Contao
Zarejestruj się teraz, aby skorzystać ze wszystkich funkcji forum. Kiedy się zalogujesz, będziesz mógł tworzyć tematy, pisać posty, rozdawać punkty reputacji, korzystać z prywatnych wiadomości i zarządzać swoim profilem. Jeśli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj się już teraz!

Wykryto wyłączony javascript

Aktualnie masz wyłączony javascript. Kilka funkcji może nie działać. Włącz ponownie javascript, aby korzystać z pełnej funkcjonalności.

BezpieczeÅ„stwo w Typolight

Rozpoczęty przez chinskimandaryn, maj 07 2009 09:30

Zaloguj się, aby dodać odpowiedź

4 odpowiedzi w tym temacie

#1
chinskimandaryn

Napisano 07 maja 2009 - 09:30

Ekspert

Zarejestrowani
332 postów

Strona www:zobacz
LokalizacjaPolska

Po instalacji systemu pozostaje potencjalne niezabezpieczone miejsce
../typolight/install.php

Dołączona grafika

By się włamać nie trzeba znać loginu, wystarczy tylko mechanizm, który by wpisywał hasła. A więc wystarczy (poprzez Google) znajdować serwisy na Typolight a następnie podjąć próbę wpisywania haseł (wystarczy tylko przygotować słownik z takimi hasłami które będzie wpisywał automat).

No tak, ale jakie hasła wpisywać?

Użytkownicy w większości nie stosują jakiś bardziej skomplikowanych haseł, a zdarza się, że mają jedno do wszystkich swoich kont, stron itp.
http://www.ks-eksper... ... eczne.aspx

W dodatku niektórzy nie wysilają się i dają hasła w stylu "123456":
http://www.polskiera...tykul90952.html

Jak to można by zabezpieczyć?

Dobrym rozwiązaniem jest wprowadzenie dodatkowego hasła na katalog:
../typolight/

Najlepszym rozwiązaniem jest zastosowanie

.htaccess
(http://www.webowe.pl...dstawy-czesc-i/)
Dzięki któremu można:
1) Ograniczyć dostęp do administracji z konkretnego IP
2) Zabezpieczy dodatkowym loginem / hasłem

0

OpenAtrium - system zarządzania projektami na twoim hostingu.
Aplikacja będąca połączeniem systemu zarządzania projektami, intranetu i bazy wiedzy.
Open Source, GPL, blog, kalendarz, listę zadań, wiki, tablica kontrolna, mikroblog ...

#2
Crass

Napisano 07 maja 2009 - 12:10

Bywalec

Zarejestrowani
26 postów

a nie latwiej zmienic nazwe pliku install.php na dowolna ? i ewentualnie przy instalacjach zmieniać z powrotem ?

0

#3
spin80

Napisano 07 maja 2009 - 14:04

Ekspert

Zarejestrowani
296 postów

Strona www:zobacz

Jeśli wpiszemy trzy razy błędne hasło to otrzymamy info

The install tool has been locked

For security reasons the install tool has been locked. This happens if you enter a wrong password more than three times in a row. Please open the local configuration file and set installCount to 0.

I nici z naszego włamania.

No chyba, że ktoś odgadnie hasło w trzech próbach

0

Agencja Interaktywna 7seconds - Wdrożenia Contao - Typolight

#4
Kamil

Napisano 07 maja 2009 - 15:17

Contao ambassador

Administratorzy
1 538 postów

Strona www:zobacz
LokalizacjaLidzbark Warminski

Można również wklepać exit; na koniec pliku (przynajmniej kiedyś tak było).

0

Codefog - Contao web development

#5
chinskimandaryn

Napisano 08 maja 2009 - 16:27

Ekspert

Zarejestrowani
332 postów

Strona www:zobacz
LokalizacjaPolska

Jeśli wpiszemy trzy razy błędne hasło to otrzymamy info
The install tool has been locked

For security reasons the install tool has been locked. This happens if you enter a wrong password more than three times in a row. Please open the local configuration file and set installCount to 0.
I nici z naszego włamania.

No chyba, że ktoś odgadnie hasło w trzech próbach

O tego nie wiedziałem ... czyli jednak o tym pomyśleli !!!
"Lepiej dmuchać na zimne" ... brawo Typolight!!! ... a już się bałem :-)

0

OpenAtrium - system zarządzania projektami na twoim hostingu.
Aplikacja będąca połączeniem systemu zarządzania projektami, intranetu i bazy wiedzy.
Open Source, GPL, blog, kalendarz, listę zadań, wiki, tablica kontrolna, mikroblog ...

Wróć do Inne