tayllor 0 Опубликовано: 26 марта 2011 Рассказать Опубликовано: 26 марта 2011 http://positive.xa7.ru/ Подскажите как скрыть имя админ-файла (admin.php или другой измененный ) при просмотре исходного кода сайта через браузер?: <body class="pagebg" OnLoad="display()"> <div id="loading-layer" style="display:none"><div id="loading-layer-text">Загрузка. Пожалуйста, подождите...</div></div> <script language="javascript" type="text/javascript"> <!-- var dle_root = '/'; var dle_admin = 'admin.php'; var dle_login_hash = 'f96fb92ec4d865877f61951c60501c49'; var dle_group = 1; var dle_skin = 'Default'; var dle_wysiwyg = 'no'; var quick_wysiwyg = '0'; var dle_act_lang = ["Да", "Нет", "Ввод", "Отмена"]; var menu_short = 'Быстрое редактирование'; var menu_full = 'Полное редактирование'; var menu_profile = 'Просмотр профиля'; var menu_send = 'Отправить сообщение'; var menu_uedit = 'Админцентр'; var dle_info = 'Информация'; var dle_confirm = 'Подтверждение'; var dle_prompt = 'Ввод информации'; var dle_req_field = 'Заполните все необходимые поля'; var dle_del_agree = 'Вы действительно хотите удалить? Данное действие невозможно будет отменить'; var dle_del_news = 'Удалить новость'; var allow_dle_delete_news = true; var dle_search_delay = false; var dle_search_value = ''; $(function(){ FastSearch(); });//--> </script> Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 624 Опубликовано: 26 марта 2011 Рассказать Опубликовано: 26 марта 2011 1. Файл нужно переименовать в админпанели и на сервере. 2. В исходном коде он виден только администратору. Цитата Ссылка на сообщение Поделиться на других сайтах
tayllor 0 Опубликовано: 26 марта 2011 Рассказать Опубликовано: 26 марта 2011 Автор В исходном коде он виден только администратору. Спасибо за ответ! Цитата Ссылка на сообщение Поделиться на других сайтах
WebSet 74 Опубликовано: 26 марта 2011 Рассказать Опубликовано: 26 марта 2011 Файл нужно переименовать в админпанели А вот это совсем не обязательно. Переименовывать это нужно только для того, чтобы работал тег {admin-link}, если никто кроме админа не заходит в АЦ, тогда можно просто изменить название файла через FTP, и заходить в админку ручками Цитата Ссылка на сообщение Поделиться на других сайтах
Dj Dance 185 Опубликовано: 26 марта 2011 Рассказать Опубликовано: 26 марта 2011 можно просто изменить название файла через FTP, и заходить в админку ручками При таком варианте не будет работать полное редактирование. Цитата Ссылка на сообщение Поделиться на других сайтах
WebSet 74 Опубликовано: 27 марта 2011 Рассказать Опубликовано: 27 марта 2011 При таком варианте не будет работать полное редактирование. Я для себя отметил многие особенности движка, и это не проблема. Можно просто по урл увидеть ID новости (cat/1234-opapapa.html) А дальше уже идти по пути admin.php?mod=editnews&action=editnews&id=1234 Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 27 марта 2011 Рассказать Опубликовано: 27 марта 2011 WebSet, и нафига такой геморой? Цитата Ссылка на сообщение Поделиться на других сайтах
WebSet 74 Опубликовано: 27 марта 2011 Рассказать Опубликовано: 27 марта 2011 и нафига такой геморой? Потому что если стянут Ваш config.php , как это делали раньше на всех версиях и не обновленных 9.0, то узнают месторасположение админки. Еще вопросы? Да и вообще это не гемор, заходите в админку, редактировать новость, любую выбираете, вписываете нужный ID, ентер и все. Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 27 марта 2011 Рассказать Опубликовано: 27 марта 2011 Потому что если стянут Ваш config.php Нафига мне Ваша админка, если я у Вас уже конфиг стяну? Тем более конфиг то на месте всегда у всех заходите в админку, редактировать новость, любую выбираете, вписываете нужный ID, ентер и все. Вы в админку только новости редактировать ходите? Цитата Ссылка на сообщение Поделиться на других сайтах
WebSet 74 Опубликовано: 27 марта 2011 Рассказать Опубликовано: 27 марта 2011 если я у Вас уже конфиг стяну? И что вы сделаете с конфигом, если нет админки? Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin, сделаете себя админом, и что дальше? Вы в админку только новости редактировать ходите? Дык руками введя урл до админки, все ее функции работать будут, вы хотя бы пробовали сделать то, что мы сейчас обсуждаем? Цитата Ссылка на сообщение Поделиться на других сайтах
6748222 1 Опубликовано: 28 марта 2011 Рассказать Опубликовано: 28 марта 2011 (изменено) если я у Вас уже конфиг стяну? И что вы сделаете с конфигом, если нет админки? Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin, сделаете себя админом, и что дальше? бред.. автор сам не понимает о чем говорит! зачем мне админка, если есть у меня аккаунт и пароль Изменено 28 марта 2011 пользователем 6748222 Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 28 марта 2011 Рассказать Опубликовано: 28 марта 2011 Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin Вы хоть что то в этом понимаете? Похоже нет... Мне нафиг не нужна будет админка, ещё раз повторяю, если я получу тем более доступ к БД! Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п. Дык руками введя урл до админки Ну да, лёгких путей не ищем... вы хотя бы пробовали сделать то, что мы сейчас обсуждаем? Файлы и т.п. я меняю ещё при установке, есть и более лучшие способы защиты- доступ по паролю с помощью функций хостинга, ограничение по IP к разделам некоторым, да тем же .htaccess. В инете даже по этой теме уже полно материала. P.S. Файл админки кому надо, вычислят легко, как бы Вы его не переименовывали Цитата Ссылка на сообщение Поделиться на других сайтах
WebSet 74 Опубликовано: 28 марта 2011 Рассказать Опубликовано: 28 марта 2011 зачем мне админка, если есть у меня аккаунт и пароль очередной фейспалм Вы хоть что то в этом понимаете? Похоже нет... Мне нафиг не нужна будет админка, ещё раз повторяю, если я получу тем более доступ к БД! Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п. Я скажу лишь одно. БД я смогу перезалить из бекапа, и это не страшно. А вот если есть доступ в админку, можно как минимум залить шелл и идти к соседям. Удаляюсь из темы, доказывать больше ничего не буду P.S. Файл админки кому надо, вычислят легко, как бы Вы его не переименовывали если нет доступа к фтп, не залит шелл, не прописан файл в конфиге, интересно как вычислить же =) Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 28 марта 2011 Рассказать Опубликовано: 28 марта 2011 интересно как вычислить же =) Спросите на соответствующих форумах, ответят, можете даже свой сайт на тест там дать думаю будете неприятно удивлены... Цитата Ссылка на сообщение Поделиться на других сайтах
WebSet 74 Опубликовано: 28 марта 2011 Рассказать Опубликовано: 28 марта 2011 думаю будете неприятно удивлены... да ну, у меня все по стандарту Спросите на соответствующих форумах, ответят ну дык если вы не знаете, зачем же тогда говорите? =( p.s. ну все, тему закрыли, по углам разбежались, выводы для себя сделали Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 28 марта 2011 Рассказать Опубликовано: 28 марта 2011 ну дык если вы не знаете, зачем же тогда говорите? Я и мой коллега ставили уже эксперимент, на 12 сайтах обнаружили админский файл за буквально 20-30 минут , на 2-х из них получили доступ к БД и админке(дырявый сервер и его настройки). Цитата Ссылка на сообщение Поделиться на других сайтах
abasive 41 Опубликовано: 28 марта 2011 Рассказать Опубликовано: 28 марта 2011 как же интересно Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 28 марта 2011 Рассказать Опубликовано: 28 марта 2011 Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п. а можно вот здесь поподробнее? возможно я чего то не понимаю, но 1) что тебе даст доступ к базе? допустим ты знаешь юзернейм, пароль, базу и что дальше? разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста? 2) что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать? Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 29 марта 2011 Рассказать Опубликовано: 29 марта 2011 разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста? Нет. что тебе даст доступ к базе? По сути всё, особо кучеряво если сайт имеет кучу материала и кучу пользователей, ну про не заметное внедрение ссылок в материалы на сайте я вобще молчу. Ну чаще просто пакостят по детски- сливают базу и удаляют её на сервере. что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать? Далее там дело техники- куки и т.п. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 29 марта 2011 Рассказать Опубликовано: 29 марта 2011 (изменено) в том свете как ты описываешь, понятно что можно сделать с базой. но я первый раз слышу, что майскл всегда разрешает удаленные подключения. насколько я знаю, по умолчанию разрешено только с локалхоста, и чтобы подключаться извне, надо прописывать ип адреса откуда можно подключаться. в таком случае знание паролей от базы ничего не даст далее. в случае со знанием файла админки.. какие куки? как ты их получишь? кроме того, в куках специально не хранится пароль, а хранится определенный хэш. даже если ты его узнаешь и подставишь с другого ип адреса, скрипт его обнулит и придется снова вводить пароли. давайте все таки обсудим и придем к общему знаменателю. Изменено 29 марта 2011 пользователем prikindel Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 29 марта 2011 Рассказать Опубликовано: 29 марта 2011 но я первый раз слышу, что майскл всегда разрешает удаленные подключения. phpMyAdmin тоже не даёт доступа из вне? Цитата Ссылка на сообщение Поделиться на других сайтах
WebSet 74 Опубликовано: 29 марта 2011 Рассказать Опубликовано: 29 марта 2011 1) что тебе даст доступ к базе? допустим ты знаешь юзернейм, пароль, базу и что дальше? разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста? 2) что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать? 1. Нет, не 99%, тут 50 на 50. 2. Поэтому мы через базу делаем юзера админа. (дырявый сервер и его настройки). Мы обсуждаем не настройки сервера, а скрипт. Так что все-таки я был прав. phpMyAdmin тоже не даёт доступа из вне? Все зависит от настроек. Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 29 марта 2011 Рассказать Опубликовано: 29 марта 2011 Все зависит от настроек. Например? Ваш хостинг предоставляет настройки к доступу к phpmyadmin? Таких пока не встречал... Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 29 марта 2011 Рассказать Опубликовано: 29 марта 2011 DeeMon, ах, пхпмайдамин.. не подумал про него, но опять таки: выставлять майадмин в свободный доступ в виде незапароленной папки, мягко говоря, неумно. а не подумал, потому что в основном имею дело с цпанелью и с плеском там необходимо сперва залогиниться в панель, перед тем как производить какие либо действия с pma в крайнем случае можно просто запаролить папку. кстати, в логах апача очень часто вижу, как народ коннектится и перебирает всевозможные варианты расположения pma 1. Нет, не 99%, тут 50 на 50. откуда такая статистика? можно ссылку? по умолчанию, в таблице юзеров и привилегий запрещено подключение с внешних ип адресов их вносят отдельно, по необходимости, например, когда надо коннектиться в одного сервака на другой Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 29 марта 2011 Рассказать Опубликовано: 29 марта 2011 кстати, в логах апача очень часто вижу, как народ коннектится и перебирает всевозможные варианты расположения pma На РБК она у всех на одном месте (кстати их досят сегодня), на SWEB достаточно знать имя сервера и так на многих... Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.