Кто-то давно знает, кто-то узнал недавно, а кто-то узнает только сейчас про дыру в админке.
Речь идёт о файле /wysiwyg/editor/filemanager/connectors/php/upload.php.
Ранее рекомендованное действие для устранения дыры было простое удаление файла.
Не секрет, что после этого в админке пропадала возможность закачивать файлы, например, при создании/редактировании статьи.
Предлагаю рецепт, который позволит устранить дыру и при этом оставляет возможность закачки файлов в админке.
Рецепт очень прост — нужно изменить имя файла на своё уникальное имя.
Можно, конечно, просто добавить циферку к имени, но это плохо. Нападающий сможет подобрать имя файла. Лучше всего полностью сменить имя на другое, в крайнем случае добавьте не менее 4-5 символов и не только цифр.
Итак, изменили имя этого файла на другое (напоминаю меняем имя файла /wysiwyg/editor/filemanager/connectors/php/upload.php)
После этого заменяем в файле wysiwyg/fckconfig.js все вхождения ’/upload.’ на ’/new_name.’
здесь new_name твоё новое имя для этого файла без php.
Следовательно, в том самом файле нужно будет заменить все вхождения ’/upload.’ на ’/my_best_upload_system.’
У меня было три строки, у вас, думаю, должно быть столько же 😊.
Да, чуть не забыл, браузер нужно будет закрыть и запустить по-новой, а то не заработает.
Кстати, существует ещё один способ, правда менее удобный — защита самого файла /wysiwyg/editor/filemanager/connectors/php/upload.php. Для этого вставим в начало файла вот такие строки:
теперь при запуске этого файла он будет запрашивать у вас (но не только у вас 😊) имя и пароль.
По секрету скажу, что нужно будет поменять значение, как минимум у одной переменной. Можете выбрать для этого $adm_name, ну или $adm_pass.
Если же Вы озаботились ранее защитой админки и для этого использовали этот же метод, то тогда защита этого файла для Вас станет прозрачной — он не станет у Вас спрашивать имя и пароль.
И волки целы и овцы сыты.
Речь идёт о файле /wysiwyg/editor/filemanager/connectors/php/upload.php.
Ранее рекомендованное действие для устранения дыры было простое удаление файла.
Не секрет, что после этого в админке пропадала возможность закачивать файлы, например, при создании/редактировании статьи.
Предлагаю рецепт, который позволит устранить дыру и при этом оставляет возможность закачки файлов в админке.
Рецепт очень прост — нужно изменить имя файла на своё уникальное имя.
Можно, конечно, просто добавить циферку к имени, но это плохо. Нападающий сможет подобрать имя файла. Лучше всего полностью сменить имя на другое, в крайнем случае добавьте не менее 4-5 символов и не только цифр.
Итак, изменили имя этого файла на другое (напоминаю меняем имя файла /wysiwyg/editor/filemanager/connectors/php/upload.php)
После этого заменяем в файле wysiwyg/fckconfig.js все вхождения ’/upload.’ на ’/new_name.’
здесь new_name твоё новое имя для этого файла без php.
Внимание! Eщё раз говорю, без расширения php!
Например, новое имя my_best_upload_system.php 😊Следовательно, в том самом файле нужно будет заменить все вхождения ’/upload.’ на ’/my_best_upload_system.’
У меня было три строки, у вас, думаю, должно быть столько же 😊.
Да, чуть не забыл, браузер нужно будет закрыть и запустить по-новой, а то не заработает.
Кстати, существует ещё один способ, правда менее удобный — защита самого файла /wysiwyg/editor/filemanager/connectors/php/upload.php. Для этого вставим в начало файла вот такие строки:
По секрету скажу, что нужно будет поменять значение, как минимум у одной переменной. Можете выбрать для этого $adm_name, ну или $adm_pass.
Если же Вы озаботились ранее защитой админки и для этого использовали этот же метод, то тогда защита этого файла для Вас станет прозрачной — он не станет у Вас спрашивать имя и пароль.
И волки целы и овцы сыты.
Разница в том, что если в админку вход стандартный без дополнительной авторизации, то придётся первый раз за сеанс работы в админке с добавлением файлов для второго варианта ввести логин и пароль, а для первого варианта ничего вводить не надо.
Но тиражировать, то есть вводить в сборку в таком виде всё равно нельзя, так как после установки системы требуется ручная корректировка. Второй вариант более подходит для тиражирования, но заставлять вводить админа логин и пароль ещё раз, по-моему это должно быть осознанное решение админа. Типа, да я готов проходить ещё раз авторизацию лишь бы не терять функционал.
Щас пришла в голову ещё одна мысль - пойду проверю.
1. при исталяции Инстанта где-нибудь в php генерируем случайное слово и присваиваем его переменной $slovo. Как хранить - в конфиге или в БД - неважно, сам решишь))
2. переименовываем файл командой
rename('/wysiwyg/editor/filemanager/connectors/php/upload.php', '/wysiwyg/editor/filemanager/connectors/php/'.$slovo.'.php');
3. После начала работы передаем значение этой переменной в js через форму formName <intut type='hidden' name=slovo value='.htmlspecialchars($slovo).'> ну и так далее
4. принимаем это слово в js val slovo=document.formName.slovo.value; ну и так далее
5. ну, а далее, как ты и предлагаешь, менять в джаваскрипте все вхождения /upload на slovo
вот и все))теперь никто не будет знать имя файла, кроме админа сайта, который может полюбопытствовать ради академического интереса, что ему там сгенерило))))
еще раз говорю, это только идея, поэтому сильно меня не дразни, а то осатанею. тебе же не хочется, чтобя я стервой сделалась)))
Борттехник дядя Саша говорил: "Течь масла свидетельствует о его наличии". Так же и здесь, обгаживание окружающих свидетельствует о наличии дерьма вместо психики.
Вернее всего поменять редактор и не выдумывать велосипед.
Ссылки которые могут помочь:
http://instantcms.ru/blogs/49/133/post557.html
http://instantcms.ru/blogs/0/myINSTANTCMS-moduli-haki-komponenty/zamena-wysiwyg---yeto-prosto.html
Если вы решили им воспользовались, то проделайте тоже самое с файлом connector.php также представляющим опасность в старой версии.