Панель администрирования сайта является важным компонентом, захват управления над которой даёт полное управление над сайтом. Но получив пароль к аккаунту с административными функциями, но не получив доступ в панель администрирования злоумышленник мало что может.
В данной статье я рассматриваю, как можно улучшить защищённость панели администрирования от злоумышленника, который получил права администратора.
Для дополнительной защиты я предлагаю использовать ложную страницу авторизации в панели администрирования и неявную авторизацию для настоящего администратора. Для этого у каждого пользователя уровня администратора при авторизации создаётся $_SESSION['admin'] куда изначально записывается значение no. При попытке проверяется значение $_SESSION['admin'] и если оно не real, то, на любую попытку доступа, выдаётся ложная страница авторизации, которая на ввод любой пары логин/пароль выдаёт: «Логин и/или пароль не верны». Неявная авторизация осуществляется с помощью задания правил ModRewriteв файле .htaccess, находящемся в корне сайта:
RewriteEngine On
RewriteRule ^open([0-9])+$ /admin/index.php?s=$1 [L]
И проверяем его верность в файле index.php:
if ($_GET['s']=='123')
{
if ($_SESSION['level']=='admin')
{
$_SESSION['admin']='real';
header("location: /admin/index.php");
}
}
Таким образом, мы отвлекаем начинающих взломщиков и системы автоматизированного сканирования безопасности сайта на ложную страницу авторизации, даём администратору сайта возможность быстрой авторизации в панели администрирования, введя в адресной строке «http://site.ru/open123». Также, злоумышленник, который повысил свои права до администратора или захватил пароль администратора, без знания секретного слова и пароля не сможет управлять сайтом, редактировать и удалять сообщения и максимально сможет только лишь добавить новое сообщение на сайт. Разумеется, предложенный выше метод не защитит Ваш сайт, если у злоумышленника есть прямой доступ к Вашему компьютеру, но в этом случае ничто не может помешать ему поставить кейлогер и получить абсолютно все Ваши пароли.
I didn?t know where to find this info then kbaoom it was here.
You\'ve imeserspd us all with that posting!