Как защитить DLE динозавра

Сообщений: 154 Регистрация: Сен 2014

9 Октября 2014 13:57

Приобрел сайт на DLE 5.3. Обновить не выйдет, потому что владелец много чего изменл по д себя. Хотел бы узнать какие уязвимости содержали старые версии, может кто-то помнит? Суть не поломать, а защитить. Плагинов никаких нету, регистрация закрыта, вход только для админа. Первое что приходит в голову - закрыть админку, но htaccess-ом этого не сделать, так ка кона не в отдельной папке.

Coder

Сообщений: 10708 Регистрация: Мар 2013

9 Октября 2014 14:02

Цитата
Norimus пишет: Первое что приходит в голову - закрыть админку, но htaccess-ом этого не сделать, так ка кона не в отдельной папке.

Дле не заню, но, в общем случает - почему бы не поставить дополнительную проверку на вход в админку - то есть, набирает кто привычный адрес админки и попадает на буферную проверку - при неправильном ответе выбрасывает, скажем, на главную сайт, с таймаутом (или без оного), скажем, на 2 сек). При правильном - перенаправ куда нужно.

В чем плюс - боты и прочее сильно затруднены будут насчет развлекательства со входом. Кроме того, стандартные способы взлома (готовые методы) будут бесполезны, поскольку надо сперва попасть на нужную страницу.

Впрочем - дле не знаю - это для "нормальных" сайтов на php. Но, как идея.

✓ Проверенные скрипты и полезности для сайта

✓ Курсы

✓ Сервис временных ссылок

Jack

Сообщений: 48 Регистрация: Окт 2010

9 Октября 2014 14:14

Это жесть! Скажу вам одно. Все внесенные доработки - можно переделать под новую версию. Вам в первую очередь нужно ознакимится с выявленными багами http://dle-news.ru/bags/

У старых версиях DLE много проблем с фильтрацией данных, вход в админку - дело пятое.

Поиск по сайту - возможен взлом, если плохая фильтрация

Проверить все post, get запросы на защищенность.

Хотели бы Вы с криком "Это Спарта !" - пнуть того, кто мешает Вам выйти из маршрутки ?!

paltarasych Сообщений: 3289 Регистрация: Янв 2011	#4 9 Октября 2014 19:50 вот посмотрите - возможно некоторые вещи уже и устарели, но может и пригодится: http://www.cy-pr.com/people/43628/blog/breaking-dle-92-and-earlier/ на момент написания было актуально Биржа криптовалюты Отличный хостинг Webhost1

Новые темы	Объявления	Свободное общение
11:07 01.02. Апдейт 31.01 // Chrome готовит "чёрную метку" для ИИ? 06:34 Гугл пухнет от кеша, а нам - крошки. Разбор $114 млрд: Адсенс в минусе, Ютуб на подписках 01:09 Yahoo Scout: Нейро-привет из склепа. Реальный шанс на траф или мимо? 17:33 AntiBot Cloud - бесплатный скрипт и сервис защиты сайтов 15:14 Апдейт Яндекса 7 февраля. Пока серп трясет, некоторые по ботам плачут 15:10 Google Discover Core Update: Дискавер отделяют от поиска? 11:30 ЕС душит ТикТок: прощай бесконечная лента и RPM? Что с монетизацией?	08:58 Мониторинг обменников Сrypto-scout.io 04:09 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 02:31 Профессиональный и грамотный дизайн от DesignCash 18:27 Nexulume.com Обменник без AML и KYC 15:45 Mixmasters - Exchange without AML and KYC 10:22 Swapwatch.org — Мониторинг криптовалютных обменников 10:19 SwapPix.io - быстрый и безопасный обменник криптовалют.	08:50 Гильотина для классиков: Клод доедает физические книги 08:40 Кулеры и БП станут золотыми? Медь по 13 штук, олово в космосе 05:10 Точные прогнозы на футбол 18:34 Ставки на супер тренды в спорте 11:10 Moltbook: Соцсеть для ботов, где людям закрыли рот. Началось? 22:31 [AI] Бот за $600к советовал есть сыр с крысами. Нью-Йорк его (наконец-то) снес 13:38 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко

Новые темы

Объявления

Свободное общение

11:07 01.02. Апдейт 31.01 // Chrome готовит "чёрную метку" для ИИ?
06:34 Гугл пухнет от кеша, а нам - крошки. Разбор $114 млрд: Адсенс в минусе, Ютуб на подписках
01:09 Yahoo Scout: Нейро-привет из склепа. Реальный шанс на траф или мимо?
17:33 AntiBot Cloud - бесплатный скрипт и сервис защиты сайтов
15:14 Апдейт Яндекса 7 февраля. Пока серп трясет, некоторые по ботам плачут
15:10 Google Discover Core Update: Дискавер отделяют от поиска?
11:30 ЕС душит ТикТок: прощай бесконечная лента и RPM? Что с монетизацией?

08:58 Мониторинг обменников Сrypto-scout.io
04:09 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка
02:31 Профессиональный и грамотный дизайн от DesignCash
18:27 Nexulume.com Обменник без AML и KYC
15:45 Mixmasters - Exchange without AML and KYC
10:22 Swapwatch.org — Мониторинг криптовалютных обменников
10:19 SwapPix.io - быстрый и безопасный обменник криптовалют.

08:50 Гильотина для классиков: Клод доедает физические книги
08:40 Кулеры и БП станут золотыми? Медь по 13 штук, олово в космосе
05:10 Точные прогнозы на футбол
18:34 Ставки на супер тренды в спорте
11:10 Moltbook: Соцсеть для ботов, где людям закрыли рот. Началось?
22:31 [AI] Бот за $600к советовал есть сыр с крысами. Нью-Йорк его (наконец-то) снес
13:38 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко