4. Права доступу (в веб-системах)

Усі веб-системи які надають персоналізований доступу до веб-ресурсу великій кількості користувачів мають систему розмежування прав доступу. І тому, наявність надійної, потужної і водночас зручної системи розмежування прав - це один з головних аспектів, що стосуються інформаційної
безпеки вашого веб-сайту.

4.1. Розмежування прав

В більшості веб-систем розмежування прав відбувається за схемою:

  • Адміністратор
  • Користувач
  • Гість

Сюди ж можуть добавлятися різні проміжні групи користувачів, наділені частковими правами. Наприклад така категорія як Модератори. Котрі мають додаткові права по відношенню до звичайних користувачів, але більш обмежені порівняно з адміністраторами. Також можуть бути інші додаткові категорії (VIP-персони, Модератори різного рівня, Забанені користувачі).

4.2. Права доступу в phpBB

Розглянемо систему розмежування прав (та її вразливість) на прикладі форуму phpBB.

Про дану та інші вразливості веб-додатків та веб-систем ви зможете дізнатися на форумі MustLive Security - форумі на тему безпеки (зареєстрованим користувачам надається Securіty Pack, який ви також можете скачати з мого сайту).

phpBB - це самий популярний в інтернеті форум для веб сайтів. У версіях програми 2.0.12 та попередніх, була знайдена помилка, яка надає можливість хакеру отримувати права адміністратора, без необхідності знати пароль. Для отримання максимальних прав, потрібно було провести атаку на систему, маючи при цьому права звичайного користувача.

Методика вирішення даної вразливості детально описана в моєму Security Pack (про який ви можете більше дізнатися на форумі та на моєму сайті).

MustLive Security Pack - це комплексний пакет, котрий призначений для підвищення безпеки форуму phpBB.

MustLive Security Pack v.1.0.1
Copyright (C) MustLive 2005
Last updated: 19.03.2005
http://mlfun.org.ua

В Security Pack входить:

1) Захист від Спамботів.

Visual Confirmation System

В поставку входить окрім англійської, також український та російський переклад Visual Confirmation System.

2) Захист від взлому: phpBB security fix #1

В phpBB-2.0.13 ця вразливість вже усунута. Для всіх попередніх версій потрібно провести ручний патчінг.

Опис установки.

Уразливість: У будь-якій версії форуму нижче 2.0.13, є вразливість з підміною cookіe-файла, використовуючи яку можна дістати права адміністратора.

Вирішення проблеми:

1) Оновлення системи до версії phpBB-2.0.13.

2) Ручний патчінг.

В файлі "includes/sessions.php"

знайти код:

if( $sessiondata['autologinid'] == $auto_login_key )

і замінити на:

if( $sessiondata['autologinid'] === $auto_login_key )

Все. Тепер вразливість усунена.

Для надійного захисту вашого форуму, використовуйте останню його версію (не менше phpBB-2.0.13) або використовуйте MustLive Security Pack, у випадку коли повне оновлення форуму неможливе. Навіть при наявності форуму версії 2.0.13, ви можете використати MustLive Security Pack для використання Захисту від Спамботів (з його локалізованою версією).

 

Перейти до Змісту