Убираем некоторые уязвимости сайта.

Опубликовано:
Редактировалось: 2 раза — последний 14 августа 2018
Просмотров: 1906
+3
Голосов: 3

Наткнулся на пост Инстант и безопасность сайта и решил устранить эти уязвимости, тем более, что пользуюсь редактором fckedit.

Уязвимость 1 - iframe атака.

Уязвимость 2 - доступ к окну файлового менеджера и возможность заливать из него любые файлы.

Конечно это больше для тех, кто страдает паранойей, но все же..

Для начала правим fckconfig.js, находим раздел с настройками панелей, правим Basic как вам нравится. Удаляем из нее Source, т.е. источник и таким образом защищаемся от iframe атаки.

Далее используем модификацию файла плагина предложенную в том посте в каментах:

Ищем

Код PHP:
  1. $oFCKeditor->ToolbarSet = 'Admin';

Меняем на

Код PHP:
  1. $group_id = $_SESSION['user']['group_id'];
  2. if ($group_id=="2")
  3. {
  4. $oFCKeditor->ToolbarSet = 'Admin';
  5. }
  6. else
  7. {
  8. $oFCKeditor->ToolbarSet = 'Basic';
  9. };

Теперь у нас разные панели для админа и для остальных. Задача состоит в том, чтобы убрать из диалоговых кнопок Картинок, Флеш и Ссылка кнопки Browse Server, убрать ее конфигурацией нельзя, но есть html диалоговых окон. :)

Заходим в папку wysiwyg->fckeditor

Ищем в подпапках папку dialog, в ней файлы. Для картинок например нам нужен fck_image.html

Ищем в нем по слову browse где происходит отображение кнопки, комментируем строки и все, кнопка пропадет.

Если не пропадет, то ищем подпапки в папке dialog с названием как у файла. В папке лежит соответствующий js.

На примере картинок, в этом js надо найти строку // Show/Hide the "Browse Server" button.

И оставить ниже только параметры 'none'.

Аналогично для других диалоговых окон. Думал кнопки пропадут и для админа, что было бы не страшно, я лично ими не пользуюсь, но они остались, пропали только у юзеров с Basic панелью.

Комментарии (0)

Нет комментариев. Ваш будет первым!

Голосуем

Самый нужный компонент