Версия 1
Мною написано несколько файлов, которые защищают формы авторизации и регистрации Инстанта как от брутфорс-атаки, так и от атаки по словарю. В настоящий момент скрипты проходят тестирование на моем демосайте www.aviakis.net.ru.
Вот некоторые (но не все) характеристики:
1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
2. Защита формы авторизации в админке с помощью дополнительного поля. Не исключает дополнительной защиты папки
/admin с помощью .htaccess. Такой .htaccess мною написан и лежит вместе с другими файлами в установочном дистрибутиве, хотя на демосайте его сейчас нет.
3. Защита форм регистрации. Не секрет, что многие наши ленивые юзеры норовят зарегится, например, под логином zz и паролем 11, а потом удивляются, почему от их имени на сайте происходят разные гадости. Я составила список из примерно 70 слов, которые при авторизации проверяются. Если система находит логин или пароль в этом списке, регистрации не происходит. При необходимости этот список легко дополнить.
Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек. После этого появилась статья в каком-то журнале о всех найденых дырах… Короче, кому хочется, эту старую тему сами ищите.
Смысл в том, что если человек не имеет доступа к кодам скриптов защиты, то выяснить, как они работают, ему не в пример труднее. Это и есть та причина, почему мой скрипт никогда не появится в открытом доступе. Я забочусь о безопасности ваших же сайтов.
В настоящий момент установочный дистрибутив готов для версии 1.5.2. Мне надо еще немного времени, чтобы адаптировать его к 1.5.3. Собственно, для этого надо просто добавить папку languages со всеми файлами и в скриптах вместо вывода текста поставить языковые переменные. Мне так проще было писать скрипты.
Посмотреть скрипты в работе можно, как я сказала, на демосайте www.aviakis.net.ru. Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.
Буду благодарна тому, кто найдет тот или иной косяк в алгоритме для оперативного исправления.
Версия 2
Во второй версии модуль авторизации перезагружается автоматически по истечении времени. То самое юзабилити, за которое ратовал neart. Просили — получите! Чуточку изменила алгоритм защиты. Теперь учтена возможность подбора со сменой ip.
Что будет в Версии 3? Собираюсь адаптировать свои файлы к версии Инстанта 1.5.3. Кроме того, перепишу модуль авторизации по технологии ajax, чтобы формы авторизации подгружались в браузер тогда, когда это нужно.
Я удалила всех пользователей, кто был зарегистрирован на демосайте до настоящего времени, чтобы все, кто хочет, мог еще раз посмотреть, что изменилось в процедуре регистрации по сравнению со стандартной версией.
Кроме того, я поставила все настройки по минимуму, чтобы не надо было по полдня ждать, пока сработает защита.
Брутфорсте на здоровье)))
Светлана.
Мною написано несколько файлов, которые защищают формы авторизации и регистрации Инстанта как от брутфорс-атаки, так и от атаки по словарю. В настоящий момент скрипты проходят тестирование на моем демосайте www.aviakis.net.ru.
Вот некоторые (но не все) характеристики:
1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
2. Защита формы авторизации в админке с помощью дополнительного поля. Не исключает дополнительной защиты папки
/admin с помощью .htaccess. Такой .htaccess мною написан и лежит вместе с другими файлами в установочном дистрибутиве, хотя на демосайте его сейчас нет.
3. Защита форм регистрации. Не секрет, что многие наши ленивые юзеры норовят зарегится, например, под логином zz и паролем 11, а потом удивляются, почему от их имени на сайте происходят разные гадости. Я составила список из примерно 70 слов, которые при авторизации проверяются. Если система находит логин или пароль в этом списке, регистрации не происходит. При необходимости этот список легко дополнить.
Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек. После этого появилась статья в каком-то журнале о всех найденых дырах… Короче, кому хочется, эту старую тему сами ищите.
Смысл в том, что если человек не имеет доступа к кодам скриптов защиты, то выяснить, как они работают, ему не в пример труднее. Это и есть та причина, почему мой скрипт никогда не появится в открытом доступе. Я забочусь о безопасности ваших же сайтов.
В настоящий момент установочный дистрибутив готов для версии 1.5.2. Мне надо еще немного времени, чтобы адаптировать его к 1.5.3. Собственно, для этого надо просто добавить папку languages со всеми файлами и в скриптах вместо вывода текста поставить языковые переменные. Мне так проще было писать скрипты.
Посмотреть скрипты в работе можно, как я сказала, на демосайте www.aviakis.net.ru. Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.
Буду благодарна тому, кто найдет тот или иной косяк в алгоритме для оперативного исправления.
Версия 2
Во второй версии модуль авторизации перезагружается автоматически по истечении времени. То самое юзабилити, за которое ратовал neart. Просили — получите! Чуточку изменила алгоритм защиты. Теперь учтена возможность подбора со сменой ip.
Что будет в Версии 3? Собираюсь адаптировать свои файлы к версии Инстанта 1.5.3. Кроме того, перепишу модуль авторизации по технологии ajax, чтобы формы авторизации подгружались в браузер тогда, когда это нужно.
Я удалила всех пользователей, кто был зарегистрирован на демосайте до настоящего времени, чтобы все, кто хочет, мог еще раз посмотреть, что изменилось в процедуре регистрации по сравнению со стандартной версией.
Кроме того, я поставила все настройки по минимуму, чтобы не надо было по полдня ждать, пока сработает защита.
Брутфорсте на здоровье)))
Светлана.
Реклама #
neart 14 лет назад #
neart 14 лет назад #
Во второй версии модуль авторизации перезагружается...
Не за аякс, разумеется, а за позитивное развитие крайне полезного начинания.
14 лет назад #
neart 14 лет назад #
14 лет назад #
Светлана Кондратьева ✝️ 14 лет назад #
Что касается одной или двух или трех попыток - это все легко настраивается. Равно как и время задержки. Я просто выставила от балды, хотя каждый админ сможет сделать все это, как ему нравится - хочет 3 секунды, хочет - 3 года....
14 лет назад #
mihalich 14 лет назад #
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
14 лет назад #
14 лет назад #
14 лет назад #
И кто захочет достанет скрипт и "распотрошит".
Но думаю, те кто способны это сделать не станут биться головой о дверь т.е. брутфорсить,
а влезут в окно.
Взять туже историю о которой напомнила Светлана,
из нескольких способов взлома ни один не был через админку.
P.S. А вообще я за открытые системы, как более надежные. )
Anonimus 14 лет назад #
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
женская логика порой не понятна мужчинам..))
14 лет назад #
Виктор 14 лет назад #
Маленький вопрос по пункту 1:
В целях конспирации не обязательно отвечать именно здесь - можно в личку написать .
Предлагаю провести обсуждение алгоритмов защиты инстанты. Как говорится "одна голова хорошо, а две лучше". Не думаю, что для этого нужно сильно прятаться - кто захочет всё равно сможет найти исходники - просто нужно по-максимуму осложнить жизнь атакующему, но не в ущерб обычным посетителям сайта.
Anonimus 14 лет назад #
InstantCMS 14 лет назад #
т.е. запрещать вход с этим логином на некоторое время
Светлана Кондратьева ✝️ 14 лет назад #
Светлана Кондратьева ✝️ 14 лет назад #
Виктор 14 лет назад #
- во-первых, на экране регистрации сделать проверку на длину пароля и на количество повторяющихся букв и на наличие букв разного регистра. Хакер изначально зная, что минимальная длина пароля, скажем 8 символов и в нём есть цифры и буквы разного регистра плюс задержки через каждые 3 подбора, то и не будет затевать брутфорс.
- во-вторых, я изначально выступал против выставления напоказ логинов пользователей сайта и сейчас ещё раз кину камень в этот огород. Раз уж так хочется, то ввести при регистрации ещё один параметр, "Название домашней папки" которое и будет светиться в пути http:/mybestsite.ru/user/HomePage, а логин убрать с глаз долой.
Но понятное дело - это не к тебе Света, это к разработчикам.
Anonimus 14 лет назад #
а вообще создайте тикет в багтрекере
14 лет назад #
Виктор 14 лет назад #
Смотрим соцмэтров и что мы видим - тю, ...., блин, ..., совсем не солидно, лажа, отстой и т.д.
Не этим нужно брать.
Светлана Кондратьева ✝️ 14 лет назад #
Я сегодня с утречка немного причесала свои файлы. Кое-где чуточку изменила алгоритм (теперь при проверке пароля обрабатываются и Qwerty и qwerty - вчера забыла это сделать и Qwerty или qwErTy могли оказаться валидными паролями - сегодня уже нет)...ну, и еще кое-где.
Самое главное - теперь страница перегружается автоматически (как и просил neart). Сделано это на скорую руку и проверялось мной в Опере. Плиз, посмотрите другими браузерами.
Всех пользователей, кто зарегился до сегодня, 15 мск, я удалила. Заодно уменьшила время задержки, чтобы вы не позасыпали. Пробуйте зарегится сначала и брутфорсить не забывайте.
Виктору. Спасибо тебе, милый, за поддержку и понимание. На экране регистрации в случае ввода числа символов меньше установленного (сейчас 5) выскочит то самое предупреждение, о котором ты говоришь. К сожалению, минимальное и максимальное число символов сейчас не регулируется, а выставляется при редактировании скрипта. В принципе, немного повозившись, можно вынести это в регулировки, только нужно ли? Вряд ли админ сайта будет каждый день менять длину паролей)))))).
Что касается выставления логинов напоказ в адресной строке - полностью с тобой согласна, но в те механизмы я не лазила....может, когда совсем делать будет нечего)))
lezginka.ru 14 лет назад #
Вы совершили ошибку при вводе логина и пароля.... ит.д.
и завис сайта.
---------------
у меня мозила(может это мои проблемы, не знаю, но сайт перестал показывать ввод логина)
Светлана Кондратьева ✝️ 14 лет назад #
Anonimus 14 лет назад #
хоть забрутфорсся
Anonimus 14 лет назад #
человек с мозгами и ничего не смыслящий в хакерстве додумается в 5 секунд как обойти вашу защиту
лично я не хакер))
Anonimus 14 лет назад #
Светлана Кондратьева ✝️ 14 лет назад #
Спасибо!
Буду думать, как переписать js. Проблема наверняка в нем, потому что писалось на скорую руку.
Anonimus 14 лет назад #
в общем вводим логи и не верный пароль
система нас посылает
но мы вводим упорно дальше
система нас посылает, но между посылами заставляет ждать всё больше и больше времени
посылает до тех пор пока не выскочит страшная табличка, что вы заблокированы!
страница перезагружается и чёрт подери, пропадает форма авторизации
да ну и фиг с ней
меняем IP
и повторяем заново перебор пароля
но мы не ждём когда страница с предупреждением о не верном пароле, будет перезагружаться, а тупо жмём стрелку броузера "назад"
в итоге нам пофигу на фремя ожидания
потом нам пофигу на все страшные таблички о блокировке
но опять же главное чтобы страница не сама вернулась на главную, а после каждой попытки мы сами её возвращали стрелкой "вернутся назад" в меню броузера....
а теперь случилось страшное и мы проморгали момент редиректа на главную
ситема сама нас туда пребросила и о ужас, опять нет формы ввода пароля
да ну и фиг с ней
мы вводим в строке броузера , находясь на сайте разумеется
выводится опять форма авторизации!
ну вот вам простор для фантазии
как предотвратить проход по этим тропинкам
Anonimus 14 лет назад #
второе , это сделать реальную блокировку пользователя, которого брутфорсят, но как сами понимаете, это не есть хорошо
успехов вам
ну а вообще самая лучшая защита от брутфорса, это пароль типа такого "iuuUT^&6gn^Y)*&R^%Ffhdgd(&E^*&f35g46uyRdcy"
InstantCMS 14 лет назад #
любая блокировка клиента обходится на раз
14 лет назад #
"есть один моментик, который Светланка, пока не до закрыла,"
в ты вщял и разболтал как сломать ее игрушку. Однозначна "ГАДКИЙ"!14 лет назад #
Anonimus 14 лет назад #
Fuze 14 лет назад #
и вся любовь)
Светлана Кондратьева ✝️ 14 лет назад #
Прилетели мы в какую-то танковую часть. У них там страшная глушь и скука. Прилетел вертолет - Событие с большой буквы. Пока правак бегал в диспетчерскую подавать заявку на завтра, командир выясняет у местных о гостинице, борттехник дядя Саша чехлит борт, закрывает заглушками воздухозаборники, швартует лопасти....ну, короче, как обычно.
К нам подваливает группа танкистов во главе с майором и просят посмотреть технику. Бортач кивает и продолжает заниматься свими делами. Танкисты долго осматривают борт, издают разные восклицания и междометия. Потом майор обращается к дяде Саше с интересным заявлением:
- Я все понимаю. Я понимаю, как вертолет летит. Я понимаю, как он висит. Но я не понимаю, как он без кардана по земле ездит.
По лицам танкистов видно, что именно этот вопрос их интересует больше всего. А надо сказать, дяда Саша у нас в гарнизоне славился как человек с юмором. Он смотрит так на майора и говорит на полном серьезе:
- Как это без кардана? Кардан на вертолете есть!
Естественно, на лицах танкистов недоверие. Они сами только что заглядывали вертолету под колеса и ничего не увидели. Носовое колесо там самоустанавливающееся, а основные стойки шасси пирамидального типа - хорошо видно, что кроме полуоси и подкоса (которые одновременно являются баллонами высокого давления ) там ничего нет.
Дядя Саша берет отвертку и приглашает всех желающих по одному подняться наверх, под самый несущий винт. Открывает им лючок и предлагает в него заглянуть.
Каждый, кто заглядывает, отшатывается, и спускается с вертолета с совершенно дикими глазами. Я тоже залезла посмотрела - да, карданный вал - с крестовинами, шарнирами Гука и всеми атрибутами. Танкисты как были с оловянными глазами, так и разошлись.
Я у дяди Саши спрашиваю:
- А почему этот кардан так высоко?
А он мне отвечает:
- Понимаешь, Свет, через этот вал от главного редуктора вентиллятор охлаждения двигателей приводится во вращение...
- А как же вертолет по земле рулит?
- Так за счет тяги винта...
Кстати, теперь-то я знаю, что вертолет рулит даже двумя способами: "на ручке" и на "шаге"
Мораль сей басни такова: прежде чем становиться в позу, и заявлять, цитирую:"защита на дурака, притом абсолютного" нужно спросить себя - уж не кардан ли я здесь искал?
Я могу сказать, что искал мой друг в моих файлах. Он пытался подобрать пароль к логину, который состоит из пустого стринга. А потом у него, видимо, айпишники кончились.
Но!Представить себе юзера, который залогиниться на сайте под пустым стрингом, признаюсь, я не смогла, когда обдумывала алгоритм защиты три месяца назад...Да и сейчас не могу.
lezginka.ru 14 лет назад #
ведь проблема безопасности для чайников становится все критичней, кроме нее никто этого не делает.
14 лет назад #
neart 14 лет назад #
Fuze 14 лет назад #
а по поводу системы безопасности могу сказать одно:
1. Кто хостится - требовать от хостера хотя бы элементарных средств защиты.
2. Выставлять ПРАВИЛЬНЫЕ права на папки и файлы, т.к. права 777 на все ни к чему хорошему не приводят, а так же правильные владельцы файлов и каталогов. Ибо если владелец файла пользователь под которым работает веб сервер это по меньшей мере не гуд.
3. Защищать админку нормально, лучше выносить ее на поддомен, пароли нормальные, хтаксцесс и т.п.
4. Удалять не используемы компоненты, удалять ненужные строки в хтаксцесс.
5. Менять префикс таблиц.
6. На рабочем сайте отключать все сообщения об ошибках майскуэл и иже с ним.
7. 403 и 404 ошибки хотябы - делать перенаправление.
lezginka.ru 14 лет назад #
--------
а теперь для чайников, хотя бы элементарные вещи - на ПРИМЕРАХ, плиз ?
Fuze 14 лет назад #
я скорее любитель дилетант.
на самом деле гугл на запрос безопасность сайта/безопасность веб сервера выдает ОГРОМНОЕ количество инфы.
к тому же я в предыдущем посте все написал вроде ж. что там может быть непонятно? все что я написал обсуждалось в том числе и на этом сайте. Попробуйте сами погуглить разобраться, вникнуть, т.к. не понимая что и зачем делаешь толку не будет, проверено!
Светлана Кондратьева ✝️ 14 лет назад #
Сергей 14 лет назад #
Anubis 14 лет назад #
Anubis 14 лет назад #
neart 14 лет назад #
Светлана Кондратьева ✝️ 14 лет назад #
Кардан +1.
Я не утверждаю, что полностью обезопасила Инстант - не та у меня квалификация. Но от школьника, который скачал брутфорс, написаный умными дядями, сейчас формы авторизации мной все-таки защищены. Другая задача и не ставилась.
А в стандартном Инстанте, простите сейчас, что? Чистое поле! Проходи кто хочет. А я хоть заборчик поставила. На котором трусы сушатся.
Anonimus 14 лет назад #
феба, ты его либо убирай, либо блокируй так же
Димаха 14 лет назад #
Светлана Кондратьева ✝️ 14 лет назад #
Rich 14 лет назад #
А можно ли просто переименовать папку admin , много проблем сразу отпадет.
vadimry 11 лет назад #