Отдельная авторизация в админ-панель для RUNCMS 2.2.2 (обновлено 24.06.2012)

[LARK]

В связи с обнаружившейся уязвимостью, описанной в этом топике, возникла мысль сделать отдельную авторизацию для админ-панели системы.

В результате набросал нижеприведенный хак.

ВНИМАНИЕ! Это alpha версия, предназначенная только для тестирования.

Не устанавливайте ее на рабочие сайты.

Отличие отдельной авторизации для администратора:

1) Используются только PHP сессии.
2) Авторизация длится только 20 минут
3) При формировании хэша авторизации используются IP и USER_AGENT администратора

v1.0alpha-2 (24.06.2012)

4) Форма авторизации защищена от CSRF атак.
5) Форма авторизации защищена капчей

Установка

1) Зайдите в phpMyAdmin, и выполните SQL запрос:

Код:

CREATE TABLE IF NOT EXISTS `префикс_cpsession` (
  `uid` mediumint(8) unsigned NOT NULL DEFAULT '0',
  `uname` varchar(30) NOT NULL DEFAULT '',
  `time` int(10) unsigned NOT NULL DEFAULT '0',
  `ip` varchar(15) NOT NULL DEFAULT '',
  `mid` mediumint(8) unsigned NOT NULL DEFAULT '0',
  `hash` varchar(40) NOT NULL DEFAULT '',
  PRIMARY KEY (`time`),
  KEY `idx` (`uid`,`hash`)
) ENGINE=MyISAM;

"префикс" в названии таблицы `префикс_cpsession` замените на префикс к вашим таблицам.

Префикс к таблицам, вы можете посмотреть в корневом файле /mainfile.php, в переменной $rcxConfig['prefix']

Например, если у вас

PHP код:

$rcxConfig['prefix'] = '2qsdF3f_'; 


то

`префикс_cpsession`

вы должны заменить на

`2qsdF3f__cpsession`


2) Скопируйте содержимое папки runcms из прикрепленного архива в корневую директорию сайта

Будут заменены следующие файлы:

/class/sessions.class.php
/include/cp_functions.php
/include/common.php
/language/russian/admin.php
/admin.php

v1.0alpha-2 (24.06.2012)

/class/kcaptcha/kcaptcha.php


ВНИМАНИЕ! Если вы вносили в выше перечисленные файлы, какие либо изменения, то они будут потеряны.

---

Теперь авторизации на сайте и в админ-панели действуют независимо друг от друга, например, вы можете быть авторизованы в админ-панели но не сайте.

Использование PHP сессии, делает бессмысленным кражу хэша авторизации, так как его теперь нельзя подставить в куки. Ограничение в 20 минут для сеанса и использование IP и USER_AGENT в хэше дает дополнительную защиту при краже ID PHP сессии.

---

Апдейт 24.06.2012

Добавлена капча
Добавлена защита от CSRF атак

[Usama]

Еще добавить надо капчу, чтоб боты не долбили почем зря.

[LARK]

Цитата:

Сообщение от Usama Еще добавить надо капчу, чтоб боты не долбили почем зря.

Да, можно. Хотя не всем это нравится.

Сделал вариант с капчей + защита от CSRF. Обновил первый пост.

[Usama]

А можно как-то логинзу прикрутить к роне, чтоб пользователи могли через соц сети заходить?

[LARK]

Конечно, по уму надо делать, например, так: логин для админа изначально без капчи, если, допустим было 3 неправильных ввода пароля, добавляется капча. Еще 5 неправильных логинов (уже с капчей) и IP блокируется на определенное время (например на 20 минут).

Но это надо вводить отдельную таблицу логов авторизаций в админку.

[Zormax]

Я уже предлагал заюзать скрипт _DIMA_NOFLOOD.PHP
давно стоит и настроен на всех, что человек с одного айпи не может сделать больше пяти попыток войти под учетку (любую), с периодом 1 раз в минуту, дальше по прогрессируещей блокирует

[ZlydenGL]

Два вопроса:

1. Не могу скачать вложения из первого сообщения. Косяк форума?
2. Можно ли ждать "официальный" фикс для линейки 1.6.х?

[LARK]

Цитата:

Сообщение от ZlydenGL 1. Не могу скачать вложения из первого сообщения. Косяк форума?

да баг после переезда

Цитата:

Сообщение от ZlydenGL 2. Можно ли ждать "официальный" фикс для линейки 1.6.х?

ну, если только для 1.7

[ZlydenGL]

Будут диффы - будет и патч Ждем фикса вложений!

[LARK]

Цитата:

Сообщение от ZlydenGL Будут диффы - будет и патч Ждем фикса вложений!

починил