[GTER] [OT]PHPnuke
Marcelo Coelho
marcelo at tpn.com.br
Fri Aug 20 18:55:26 -03 2004
Olá Márcio,
O cookie também é enviado pelo navegador, logo, da mesma forma que o Referer
pode ser burlado, o cookie também.
GET /script.php?parametro=blablabla HTTP/1.1
Host: www.website.com
Referer: http://www.website.com/script.php
Cookie: name1=value1; name2=value2 ...
É claro que ninguém conhece seu código, para saber o que você está checando,
mas tecnicamente falando, não é uma garantia de segurança.
Sugiro que você atualize seu PHPNuke para a última versão, e utilize
.htaccess para proteger o diretório administrativo, colocando o arquivo de
senhas fora da web.
--
Marcelo Coelho
marcelo at tpn.com.br
>OLá Marcelo,
>Obrigado pela dicas, são de grande valor pra mim. O que eu fiz pra
>"resolver" o problema, momentaneamente, foi isso:
>no admin.php eu adicionei esse código logo após o get_lang(admin);
>
>cookiedecode($user);
>$username = $cookie[1];
>if ((!is_user($user)) OR ($username != "USUARIO_NORMAL")) {
>~ $admintest=0;
>~ echo "<html>\n";
>~ echo "<title>INTRUDER ALERT!!!</title>\n";
>~ echo "<body bgcolor=\"#FFFFFF\" text=\"red\">\n\n<br><br><br>\n\n";
>~ echo "<center><img src=\"images/eyes.gif\"
>border=\"0\"><br><br><br><br>\n";
>~ echo "<font face=\"Verdana\" size=\"+4\"><b>Sai
>Fora!!!</b></font></center>\n";
>~ echo "</body>\n";
>~ echo "</html>\n";
>~ exit;
>}
More information about the gter
mailing list