Забыли?

Защита панели администрирования сайта

23 апреля 2011 года

Панель администрирования сайта является важным компонентом, захват управления над которой даёт полное управление над сайтом. Но получив пароль к аккаунту с административными функциями, но не получив доступ в панель администрирования злоумышленник мало что может.

В данной статье я рассматриваю, как можно улучшить защищённость панели администрирования от злоумышленника, который получил права администратора.

Для дополнительной защиты я предлагаю использовать ложную страницу авторизации в панели администрирования и неявную авторизацию для настоящего администратора. Для этого у каждого пользователя уровня администратора при авторизации создаётся $_SESSION['admin'] куда изначально записывается значение no. При попытке проверяется значение $_SESSION['admin'] и если оно не real, то, на любую попытку доступа, выдаётся ложная страница авторизации, которая на ввод любой пары логин/пароль выдаёт: «Логин и/или пароль не верны». Неявная авторизация осуществляется с помощью задания правил ModRewriteв файле .htaccess, находящемся в корне сайта:

RewriteEngine On
RewriteRule ^open([0-9])+$ /admin/index.php?s=$1 [L]

И проверяем его верность в файле index.php:


if ($_GET['s']=='123')
{
if ($_SESSION['level']=='admin')
{
$_SESSION['admin']='real';
header("location: /admin/index.php"); 
}
}

Таким образом, мы отвлекаем начинающих взломщиков и системы автоматизированного сканирования безопасности сайта на ложную страницу авторизации, даём администратору сайта возможность быстрой авторизации в панели администрирования, введя в адресной строке «http://site.ru/open123». Также, злоумышленник, который повысил свои права до администратора или захватил пароль администратора, без знания секретного слова и пароля не сможет управлять сайтом, редактировать и удалять сообщения и максимально сможет только лишь добавить новое сообщение на сайт. Разумеется, предложенный выше метод не защитит Ваш сайт, если у злоумышленника есть прямой доступ к Вашему компьютеру, но в этом случае ничто не может помешать ему поставить кейлогер и получить абсолютно все Ваши пароли.

Автор: Tmin10
Комментариев: 3
Добавлено 11 июля 2011 года в 12:32, автор Гость:

I didn?t know where to find this info then kbaoom it was here.

Добавлено 16 октября 2014 года в 08:40, автор Chieko:

You\'ve imeserspd us all with that posting!

Добавлено 23 октября 2014 года в 08:31, автор Raj:

Reading posts like this make surfing such a pluesare http://kynozbrju.com [url=http://recfujyz.com]recfujyz[/url] [link=http://lzhcpxsl.com]lzhcpxsl[/link]

Имя (обязатено) E-mail (обязательно, не публикуется)
Сайт
capture