Home News

Сайт на PHP NUKE | Использование модуля Feedback

06.09.2018

видео Сайт на PHP NUKE | Использование модуля Feedback

Как легко взломать сайт на PHP — SQL injection

Модуль Feedback - один из немногих модулей, не требующих администрирования. В то же время, данный модуль представляет собой уязвимость системы безопасности.


Установка PhpNuke 8.3.2 на хостинг

Основная проблема этого модуля заключается в том, что он не осуществляет никакой проверки или контроля данных, вводимых пользователями, включая содержимое полей Your Name (Ваше имя) и Your E-mail (Адрес вашей электронной почты). Другим словами, любой, кто имеет доступ к указанному модулю, может вводить все, что хочет. Поскольку данные, которыми заполняется форма, обрабатываются стандартной процедурой обработки форм HTTP, существует вероятность того, что найдется некий пользователь, который напишет небольшой сценарий или программу, реализующую автоматическую генерацию фальшивых сообщений рассматриваемого типа. Конечный результат'? Ваш администраторский почтовый ящик моментально заполнится спамом, и вы даже не будете знать, кого в этом винить.


Часть 1. Форма обратной связи для сайта: PHP-обработчик

Как упоминалось ранее, улучшить работу модуля Feedback нельзя. Однако существует несколько способов снижения вероятности получения вреда от его использования:

? Не используйте модуль Feedback. Многие администраторы предпочитают вместо указанного модуля добавлять в модуль Forums специальный форум обмена мнениями о сайте, па этом форуме посетители могут оставлять свои замечания, касающиеся работы сайта, и получать на них ответы. Один из таких форумов, функционирующий на сайте www.scriptinganswers.com . Еще одним преимуществом такого подхода является то, что администраторам предоставляется возможность публиковать свои ответы на замечания разных пользователей, так что все их будут видеть.

Ограничьте доступ. Вы можете настроить модуль Feedback таким образом, чтобы он был доступен лишь, например, для зарегистрированных пользователей. Такой шаг, конечно же, не уменьшит опасности использования описываемого модуля, однако снизит вероятность того, что он будет применяться для рассылки спама на ваш электронный почтовый ящик. Для ограничения доступа к модулю достаточно внести соответствующие изменения в его запись, отображаемую при выборе опции Modules (Модули) меню Administration (Администрирование).

Сделайте модуль невидимым. Опять же такой метод - это метод повышения безопасности за счет скрытности, т.е., в действительности, он не решает проблем надежности модуля Feedback, однако снижает риск его использования во враждебных целях. Если вы, отредактировав свойства описываемого модуля, сделаете его невидимым, он не будет отображаться в блоке Modules, который исполняет роль главного меню сайта. Для предоставления пользователям доступа к этому модулю вы можете создавать на него ссылки, применяя URL типа: http://yoursite/module$.php?name=Feed back.

Мои рекомендации? Полностью отключите описанный модуль. Пользователям удобнее работать в форуме обмена мнениями о функционировании сайта, он предоставляет администратору больше гибкости в общении с посетителями сайта, обсуждении предложений и т.д. - при этом все посетители становятся более прозрачными, что также облегчает задачу Web-мастера, следящего за благонадежностью пользователей сайта.

rss