Welcome To Starmedia
StarM3dia - Home of Tutorial`s

Welcome To Starmedia

Welcome To Starmedia
 
AcasaCalendarFAQCautareMembriGrupuriInregistrareConectare

Distribuiţi | 
 

 Security guide for mu web 0.8

In jos 
AutorMesaj
Admin
Admin


Mesaje : 299
Data de inscriere : 19/11/2009

MesajSubiect: Security guide for mu web 0.8   Sam Noi 21, 2009 11:50 pm

-Pentru inceput instalati XAMPP-ul.
-Faceti urmatoarele:


* Deschideti C:\xampp\apache\bin\php.ini
* Cautati safe_mode = off si modificati cu safe_mode = on
* Cautati safe_mode_gid = off si modificati cu safe_mode_gid = on



Deci... in prim-ul rand va voi explica care sunt "gaurile" (bug-urile) muweb-ului 8.0.

# Name | How to fix

Cod:

- includes/search_acc_admin.php | Delete
- includes/search_chr_admin.php | Delete
- includes/search_ip_admin.php | Delete
- administrator.php | Rename-Explicatia mai jos
- Administrator | Rename-Explicatia mai jos
- Modules/User/ALL FILES | Anti-SQL-Code-Mai jos
- Modules/search.php | Delete
- Modules/register.php | Anti-SQL-Code-Mai jos
- Modules/statistics.php | Delete-Asta pana gasesc alta solutie.

// Si inca cateva chestii din modules... care trebuie protejate
prin codul anti inject , cele pe care le puteti edita sunt deja aici.

*
De obicei uni dintre voi bagati codul anti-inject in index.php ceea ce
nu mereu are efect , cel mai bine si mai sigur se introduce in
config.php!



* Anti-SQL-Injection , efficient 100%

Cod:
<?php
$ip = $_SERVER['REMOTE_ADDR'];
$time = date("l dS of F Y h:i:s A");
$script = $_SERVER[PATH_TRANSLATED];
$fp = fopen ("D:/MuServer/[WEB]SQL_Injection.txt", "a+");

$sql_inject_1 = array(";","'","%",'"'); #Whoth need replace
$sql_inject_2 = array("", "","","""); #To wont replace
$GET_KEY = array_keys($_GET); #array keys from $_GET
$POST_KEY = array_keys($_POST); #array keys from $_POST
$COOKIE_KEY = array_keys($_COOKIE); #array keys from $_COOKIE
/*begin clear $_GET */
for($i=0;$i<count($GET_KEY);$i++)
{
$real_get[$i] = $_GET[$GET_KEY[$i]];
$_GET[$GET_KEY[$i]] = str_replace($sql_inject_1, $sql_inject_2, HtmlSpecialChars($_GET[$GET_KEY[$i]]));
if($real_get[$i] != $_GET[$GET_KEY[$i]])
{
fwrite ($fp, "IP: $ip\r\n");
fwrite ($fp, "Method: GET\r\n");
fwrite ($fp, "Value: $real_get[$i]\r\n");
fwrite ($fp, "script: $script\r\n");
fwrite ($fp, "Time: $time\r\n");
fwrite ($fp, "==================================\r\n");
}
}
/*end clear $_GET */
/*begin clear $_POST */
for($i=0;$i<count($POST_KEY);$i++)
{
$real_post[$i] = $_POST[$POST_KEY[$i]];
$_POST[$POST_KEY[$i]] = str_replace($sql_inject_1, $sql_inject_2, HtmlSpecialChars($_POST[$POST_KEY[$i]]));
if($real_post[$i] != $_POST[$POST_KEY[$i]])
{
fwrite ($fp, "IP: $ip\r\n");
fwrite ($fp, "Method: POST\r\n");
fwrite ($fp, "Value: $real_post[$i]\r\n");
fwrite ($fp, "script: $script\r\n");
fwrite ($fp, "Time: $time\r\n");
fwrite ($fp, "==================================\r\n");
}
}
/*end clear $_POST */
/*begin clear $_COOKIE */
for($i=0;$i<count>
?>


* Desigur il bagati la inceput-ul liniei din config.php

**
Acest script creaza automat in D:/MuServer un fisier cu log-urile
website-ului , adica toate ip-urile ce au incercat sa va dea inject sau
sa va "hacereasca" Laughing website-ul , fila se numeste
[WEB]SQL_Injection.txt .



* Secure Administrator:



1.
-Deschide administrator.php cu notepad, apasa Ctrl+H sau dute in Edit > Replace...
-La
Find what bagati: administrator , la Replace with bagati: orice alt
cuvant sau 2 cuvinte sau cate vreti legate de "_" exemplu (Server_Admin
sau ServerAdmin , nu folositi "-" !!! ) si dati OK.


*
Redenumeste adminsitrator.php in ce ai bagat mai sus in loc de
administrator, exemplu (In loc de administrator.php vei pune
Server_Admin.php)

2.
-Intra in folder-ul administrator unde
vei cauta "administrator" fara " ca in exemplele de mai sus punand
acelasi nume ca si mai sus exemplu (Server_Admin) mai jos aveti o lista
cu fisierele pe care trebuie sa le editati.



Cod:
- .htaccess > Nu
- downloads.php > Da
- editaccount.php > Da
- editcharacter.php > Da
- events.php > Da
- findip.php > Nu
- logs.php > Nu
- news.php > Da
- server.php > Da
- webshop.php > Da
- website.php > Da
Sus In jos
Vezi profilul utilizatorului http://starm3dia.forumers.ro
 
Security guide for mu web 0.8
Sus 
Pagina 1 din 1

Permisiunile acestui forum:Nu puteti raspunde la subiectele acestui forum
Welcome To Starmedia :: MMORPG Zone :: MuOnline :: Tutoriale Site-
Mergi direct la: