Повышение уровня безопасности (Страница 1 из 2)

Видел такое в ExBB Full Mods. Правда поначалу там постоянно возникали накладки типа "вызов скрипта нелегальным способом". Сейчас вроде все устаканилось. Абсолютно реальный метод, только требует аккуратной реализации. Существующий confirm_referer слабоват. Когда я эксперементирую с ЧПУ, приходится постоянно его править. Код в форме решил бы эту заморочку.

Есть реализации с очень жестким контролем по доп. коду. Например, в админпанели на хостинге peterhost.ru нельзя возвратиться назад по истории - код следующей формы перестает соответствовать. Для возврата на каждой форме есть специальная кнопка "возврат" - тогда следующий код проходит верификацию.

tvoyweb.ru/forums/index.php?c=3

В версии 1.3 такое заложено. Правда неизвестно когда эта версия станет стабильной. Опять же перенос плагинов...
hcs, ты тестировал свежие версии 1.3dev ? админка там очень интересная

Поделюсь опытом. Появилась необходимость создать форум, но свой движок ещё не готов, поэтому решил заюзать сторонний. Итак, выбор пал на PunBB, однако так как форум посвящён информационной безопасности - защиту пришлось доработать. Что сделал:

1. Поставил свою каптчу в регистрацию. (мод, который используется на этом сайте, должную безопасность не обеспечит - картинка легко распознаётся)

2. Вырезал нафиг поддержку SHA в авторизации (для удобства). Оставил только MD5

3. "Засолил" пароли в базе данных. Т.е. пароли хранятся примерно с следующем виде: MD5(соль.пароль). По идее, даже при использовании SQL иньекции и при несанкционированном получении пароля, его расшифровка будет весьма затруднительна (читать невозможна (при незнании соли))

4. Cookies привязал к IP + засолил другой солью. В итоге можно забыть про XSS атаки + даже зная хэш пароял - авторизироваться будет затруднительно.

5. Поставил на админку дополнительную авторизацию.

Всё. Ещё можно:

1. Сделать сверку MD5 сумм всех скриптов форума (запускаему по крону). В случае чего - админу придёт e-mail / sms.

2. Вынести файлы за пределы папки доступной из инета.

Жду комментов )

Добавлено  01.30.2007 12:01:05:
Забыл ссылку: www.forum.secbun.info

S1B
Можно пункты 3 и 4 осветить подробнее, включая код?

Простите за офтоп. А где можно почитать как грамотно перенести админку в отдельную папку?

народ, это только у меня на локальном Апаче такой прикол или у всех?
в файле паролей (AuthUserFile) подразумеваются незашифрованные пароли. обнаружил совершенно случайно
закодированный пароль не прокатил - от балды впечатал в файл пароль открытым текстом - сработало

artoodetoo
обычно файл паролей шифруется, я с открытым хранением сталкиваюсь впервые

а так тебя на устраивает?

<Files ~ "^admin_">

Если я не ошибаюсь, то расшифровка хешей производится средствами сервера. Есть утилиты, позволяющие создавать хеш-файлы с паролями в md5.

Просто не хочеться возится и делать два алгоритма "засаливания" паролей. Поэтому SHA ввырезал как ненужный геморой. ИМХО его вообще можно из кода исключить, ибо не практично. SHA шифрование всего несколько версий PHP поддерживают.

С кодом не могу - я не за своим компом. Да и не помню куда изменения внёс

Суть такая:

В конфиг ложиться две переменных соль первая и вторая. В переменных задаётся что-ибудь типа - "hd3#)#((3KD_27DFVB@^!!!DDA" - чтоб никто не догадался

Далее. Все пароли в БД шифруются по умолчания по принципу MD5(пароль). Мы же делаем MD5(соль1.пароль). Соотвественно вносим в код изменения, чтобы при регистрации автоматически добавлялась соль, а при авторизации чтобы она учитывалась и т.д. Идея надеюсь ясна. При реализации пришлось немного потанцевать с бубном, ибо разработчики тоже там намудрили чёрт знает что... Поэтому пришлось переделать функции так, чтобы при вызове SHA энкодера подсовывался MD5 хэш. Ну а чтоб форум подмены не заметил - там в некоторых местах изменить длинну хэша в проверке пришлось с 40 на 32. Надеюсь поняли.

Чего мы всем этим добились?

1. Вырезали SHA, чтобы не мешал. Надеюсь я убедил Вас в том, что он мешает?
2. Сделали пароли криптоустойчивыми. Т.е. допустим у юзера стоит пароль "12345". По умолчанию, если хэш пароля попадёт не в те руки, пароль можно будет расшифровать за пару секунд. После нашей модификации хэш пароля будет содержать что-то типа "hd3#)#((3KD_27DFVB@^!!!DDA12345". В данном случае, при незнании соли (а чтобы её узнать - нужно иметь доступ к чтению файлов на сервере) хэш можно колоть до скончания веков. Т.е. даже применив SQL иньекцию - сложно чего-либо будет добится.

Что касается привязки к IP - тут всё просто:

При создании куков (читать - при авторизации) мы помимо всякой "ерунды", ложим вторую соль (чтобы было сложно расшифровать куки) + IP адрес посетителя. Далее, вносим измения в функции проверки куков. Нужно выстроить их так, чтобы при провереке куков опеределялся текущий IP пользователя и сравнивался с IP из куков. Чего мы таким образом добъёмся? Мы добъёмся одного - даже при получении cookies (читать - при проведении XSS атаки, либо при выдирании кукисов с компьютера жертвы) злоумышленник ничего не сможет с ними сделать, ибо на его компе кукисы работать не будут (разве что они с одного IP сидят, но ведь коллеге по работе всегда можно дать в нос )

Вообщем так. Куда ещё подробнее я уже не знаю. Удачи в защите форума Если есть вопросы - ICQ #4124477 и e-mail s1b@secbun.info

И ещё - добро пожаловать на наш форум: www.forum.secbun.info Всегда рад обсудить вопросы безопасности web-приложений там.