banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật các bước bảo mật cho forum IPB  XML
  [Question]   các bước bảo mật cho forum IPB 13/07/2006 00:47:16 (+0700) | #1 | 6189
jackly
Member

[Minus]    0    [Plus]
Joined: 26/06/2006 20:17:52
Messages: 11
Location: CHV
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
xin các anh em nào biết các phương pháp bảo mật cho IPb thì hãy hướng dẫn cụ thể cho newbie để các bạn có thể từng bước làm quen với bảo mật nhé ! . nên hướng dẫn cách bảo mật theo từng bước chứ đừng post các bài thảo luận và nghiên cứu vì nghiên cứu và thảo luận đã có box kia rồi !
tui chỉ biết có 2 bước là lập firewall bằng tường lửa mới cung cấp trong đại hội webmaster lần trước , bước thứ 2 là bảo mật bằng file .htaccess giống HVA vậy ! còn các chiêu nào nữa không anh em ! nghe nói nhiều về hệ thống bảo mật rồi mà chưa thấy nó ra sao ! vậy cách lập thế nào vậy ! lập một hệ thống phòng thủ ấy ! thân !
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 13/07/2006 00:51:41 (+0700) | #2 | 6192
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

jackly wrote:
xin các anh em nào biết các phương pháp bảo mật cho IPb thì hãy hướng dẫn cụ thể cho newbie để các bạn có thể từng bước làm quen với bảo mật nhé ! . nên hướng dẫn cách bảo mật theo từng bước chứ đừng post các bài thảo luận và nghiên cứu vì nghiên cứu và thảo luận đã có box kia rồi !
tui chỉ biết có 2 bước là lập firewall bằng tường lửa mới cung cấp trong đại hội webmaster lần trước , bước thứ 2 là bảo mật bằng file .htaccess giống HVA vậy ! còn các chiêu nào nữa không anh em ! nghe nói nhiều về hệ thống bảo mật rồi mà chưa thấy nó ra sao ! vậy cách lập thế nào vậy ! lập một hệ thống phòng thủ ấy ! thân ! 


HVA không dùng .htaccess
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 13/07/2006 00:56:43 (+0700) | #3 | 6194
[Avatar]
KINYO
Member

[Minus]    0    [Plus]
Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline
[Profile] [PM] [WWW]

jackly wrote:
xin các anh em nào biết các phương pháp bảo mật cho IPb thì hãy hướng dẫn cụ thể cho newbie để các bạn có thể từng bước làm quen với bảo mật nhé ! . nên hướng dẫn cách bảo mật theo từng bước chứ đừng post các bài thảo luận và nghiên cứu vì nghiên cứu và thảo luận đã có box kia rồi !
tui chỉ biết có 2 bước là lập firewall bằng tường lửa mới cung cấp trong đại hội webmaster lần trước , bước thứ 2 là bảo mật bằng file .htaccess giống HVA vậy ! còn các chiêu nào nữa không anh em ! nghe nói nhiều về hệ thống bảo mật rồi mà chưa thấy nó ra sao ! vậy cách lập thế nào vậy ! lập một hệ thống phòng thủ ấy ! thân ! 


Thực ra vấn đề bảo mật cho IPB cũng không có gì là ghê gớm cả đâu, cái quan trọng nhất là phải theo dõi, thường xuyên cập nhật các bản vá trước khi hacker lợi dụng nó. Nếu làm tốt được cái này thì forum của bạn đã an toàn ở mức 99% rồi đấy.
[Up] [Print Copy]
  [Question]   Re: các bước bảo mật cho forum IPB 13/07/2006 01:00:15 (+0700) | #4 | 6197
[Avatar]
KINYO
Member

[Minus]    0    [Plus]
Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline
[Profile] [PM] [WWW]
Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ.

Chỉ cần các bạn nắm vững được một vài nguyên tắc đơn giản là có thể yên tâm cười nhạo hacker được rồi. Sau khi đọc hết bài viết của tôi bạn sẽ thấy rằng hacker chỉ là những chó thỏ non tôi nghiệp mà thôi, bạn mới chính là người chủ động trong cuộc chiến.

Bận quá, chốc viết tiếp.
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 14/07/2006 21:07:16 (+0700) | #5 | 6611
ly_thu_van
Member

[Minus]    0    [Plus]
Joined: 02/07/2006 16:01:12
Messages: 1
Location: Giấc mơ anh và em bên nhau
Offline
[Profile] [PM] [Yahoo!]
Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ 

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè.......
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 14/07/2006 23:12:06 (+0700) | #6 | 6656
[Avatar]
KINYO
Member

[Minus]    0    [Plus]
Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline
[Profile] [PM] [WWW]

ly_thu_van wrote:
Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ 

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè....... 


Hì, lỗ hổng bảo mật đã có người tìm ra hộ, 99.99% hackers chỉ là những người lợi dụng những lỗ hổng đó khi người ta post nó lên các websites về security, vấn đề ở đây là ai nhanh chân hơn ai, thằng phá nhanh hơn hay thằng chống nhanh hơn.

Bây giờ thì bạn hiểu một phần vấn đề rồi chứ.

Nhưng còn một số vấn đề nữa không kém phần quan trọng (nhất là cho newbie), từ từ rồi tôi sẽ post lên.
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 14/07/2006 23:35:03 (+0700) | #7 | 6672
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

KINYO wrote:

ly_thu_van wrote:
Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ 

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè....... 


Hì, lỗ hổng bảo mật đã có người tìm ra hộ, 99.99% hackers chỉ là những người lợi dụng những lỗ hổng đó khi người ta post nó lên các websites về security, vấn đề ở đây là ai nhanh chân hơn ai, thằng phá nhanh hơn hay thằng chống nhanh hơn.

Bây giờ thì bạn hiểu một phần vấn đề rồi chứ.

Nhưng còn một số vấn đề nữa không kém phần quan trọng (nhất là cho newbie), từ từ rồi tôi sẽ post lên. 


Hackers (đúng nghĩa) không làm những chuyện này.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 14/07/2006 23:49:28 (+0700) | #8 | 6684
[Avatar]
Vickizw
Member

[Minus]    0    [Plus]
Joined: 06/07/2006 19:55:29
Messages: 339
Location: ColTech
Offline
[Profile] [PM] [WWW]
Bác KINYO hình như chưa đọc bài đối thoại với rookie của anh Conmale

jackly wrote:
xin các anh em nào biết các phương pháp bảo mật cho IPb thì hãy hướng dẫn cụ thể cho newbie để các bạn có thể từng bước làm quen với bảo mật nhé ! . nên hướng dẫn cách bảo mật theo từng bước chứ đừng post các bài thảo luận và nghiên cứu vì nghiên cứu và thảo luận đã có box kia rồi !
tui chỉ biết có 2 bước là lập firewall bằng tường lửa mới cung cấp trong đại hội webmaster lần trước , bước thứ 2 là bảo mật bằng file .htaccess giống HVA vậy ! còn các chiêu nào nữa không anh em ! nghe nói nhiều về hệ thống bảo mật rồi mà chưa thấy nó ra sao ! vậy cách lập thế nào vậy ! lập một hệ thống phòng thủ ấy ! thân ! 

Để bảo mật IBF thì bạn có thể cập nhật các bản vá của IBF
Nếu bạn lập trình php tốt thì có thể nghiên cứu code để tự fix nó
Còn nữa để bảo mật forum tốt thì trước tiên host bạn phải bảo mật tốt
Bạn chỉ là người thuê host không có server riêng thì chọn server bảo mật cao về phần host thì như bạn đã nói và CHMOD các file các thư mục thật cẩn thận
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 15/07/2006 00:41:45 (+0700) | #9 | 6716
[Avatar]
KINYO
Member

[Minus]    0    [Plus]
Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline
[Profile] [PM] [WWW]

conmale wrote:

KINYO wrote:

ly_thu_van wrote:
Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ 

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè....... 


Hì, lỗ hổng bảo mật đã có người tìm ra hộ, 99.99% hackers chỉ là những người lợi dụng những lỗ hổng đó khi người ta post nó lên các websites về security, vấn đề ở đây là ai nhanh chân hơn ai, thằng phá nhanh hơn hay thằng chống nhanh hơn.

Bây giờ thì bạn hiểu một phần vấn đề rồi chứ.

Nhưng còn một số vấn đề nữa không kém phần quan trọng (nhất là cho newbie), từ từ rồi tôi sẽ post lên. 


Hackers (đúng nghĩa) không làm những chuyện này. 


Chào anh Commale, như đã nói rõ ở post đầu tiên, chủ đề này được tác giả yêu cầu là dành cho newbie, vì vậy chuyện hacker đúng nghĩa hay không đúng nghĩa thực ra cũng không quan trọng đối với nội dung của chủ đề lắm, newbie thường chỉ nhìn nhận vấn đề một cách đơn giản và trực quan như sau : thằng nào phá forum của tôi hay đột nhập vào máy tính của tôi, thằng đó là hacker.

Còn nếu để định nghĩa thế nào là hacker thì phải mở riêng một chủ đề khác, khi đó chúng ta sẽ tìm hiểu sâu hơn về vấn đề này, ví dụ black hat hacker là gì, white hat hacker là gì, dark side hacker là gì...
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 15/07/2006 00:53:13 (+0700) | #10 | 6726
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

KINYO wrote:

conmale wrote:

KINYO wrote:

ly_thu_van wrote:
Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ 

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè....... 


Hì, lỗ hổng bảo mật đã có người tìm ra hộ, 99.99% hackers chỉ là những người lợi dụng những lỗ hổng đó khi người ta post nó lên các websites về security, vấn đề ở đây là ai nhanh chân hơn ai, thằng phá nhanh hơn hay thằng chống nhanh hơn.

Bây giờ thì bạn hiểu một phần vấn đề rồi chứ.

Nhưng còn một số vấn đề nữa không kém phần quan trọng (nhất là cho newbie), từ từ rồi tôi sẽ post lên. 


Hackers (đúng nghĩa) không làm những chuyện này. 


Chào anh Commale, như đã nói rõ ở post đầu tiên, chủ đề này được tác giả yêu cầu là dành cho newbie, vì vậy chuyện hacker đúng nghĩa hay không đúng nghĩa thực ra cũng không quan trọng đối với nội dung của chủ đề lắm, newbie thường chỉ nhìn nhận vấn đề một cách đơn giản và trực quan như sau : thằng nào phá forum của tôi hay đột nhập vào máy tính của tôi, thằng đó là hacker.

Còn nếu để định nghĩa thế nào là hacker thì phải mở riêng một chủ đề khác, khi đó chúng ta sẽ tìm hiểu sâu hơn về vấn đề này, ví dụ black hat hacker là gì, white hat hacker là gì, dark side hacker là gì... 


Anh tin rằng, bởi vì bài này dành cho newbie thì thông tin lại càng phải chính xác. Ngay từ đầu nếu họ hiểu lệch lạc thì càng về sau sẽ càng lệch lạc. Dân chuyên không cần phải định nghĩa đúng với họ nữa.

Bởi vì nhận định: "thằng nào phá forum của tôi hay đột nhập vào máy tính của tôi, thằng đó là hacker." này sai lầm nên việc khai phá vấn đề sẽ sai lầm. Nếu em đóng vai trò truyền đạt, em phải chính xác.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 17/07/2006 02:37:15 (+0700) | #11 | 7243
kenvin_mitnick
Member

[Minus]    0    [Plus]
Joined: 14/09/2005 05:40:59
Messages: 1
Offline
[Profile] [PM]
hix .. người ta nói gừng càng già càng cay .... Anh comale "chưa già" mà đã "cay" roài ....

Việc bảo mật cho IPB chỉ cần Admin chịu khó online và cập nhật bug cũng như Update bản mới .. Hình như hiện nay,có 1 trào lưu thích có web, forum .. thiết kế xong rồi để đó .. nên mới bị "hack" .....
-Có lẽ,khi thành lập những forum đó họ nên NGHĨ TỚI HIỆU QUẢ CỦA NÓ chứ đừng để "OAI" với người khác .. smilie

-to Conmale : em đang chờ đọc tiếp "Những cuộc đối thoại với rookie" của anh đó .. smilie
[Up] [Print Copy]
  [Question]   Re: các bước bảo mật cho forum IPB 19/07/2006 18:47:35 (+0700) | #12 | 7935
[Avatar]
badbigboy1
Elite Member

[Minus]    0    [Plus]
Joined: 12/03/2003 16:59:34
Messages: 48
Offline
[Profile] [PM]
Tưởng có bài viết hay, thôi thì tớ spam cho nó chán hẳn rồi đóng cửa tống hết moịn người ra, bài viết hay thì tớ không spam đâu. Trước có một topic cựu hay trên này dạy các bước bảo mật cho IBP, ko tìm lại được
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 20/07/2006 20:16:34 (+0700) | #13 | 8280
lyhuuloi
Elite Member

[Minus]    0    [Plus]
Joined: 04/04/2003 11:29:17
Messages: 90
Location: TP HCM
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Nếu "hacker" không được thì dùng "attacker" vẫn được chứ anh conmale smilie

Thông thường khi khi attacker tìm được lỗi và tìm cách khai thác, mục tiêu là lấy được thông tin của field "member_login_key" trong table "ibf_members".

Thông tin đó sẽ được IBF 2.1.x chọn làm pash_hash lưu vào cookie. Vì thế attacker khi lấy được thông tin của field "member_login_key" thì có thể fake cookie :rolleyes:

Mấu chốt là khi IBF chọn nó (member_login_key) làm giá trị pash hash lưu vào cookie. mình sẽ biến đổi nó bằng cách mã hóa md5 giá trị của field member_login_key với 1 khóa tự đặt nào đó. Như vậy khi kiểm tra, dù cho attacker có lấy được member_login_key cũng không thể fake cookie.

Cách làm như sau:

sources / action_public / login.php

Bây giờ sẽ thay đổi pash hash được tạo khi đăng nhập, Tìm đến:

Code:
$this->ipsclass->my_setcookie("pass_hash"   , $member["member_login_key"], 1);


Thay thành:

Code:
$this->ipsclass->my_setcookie("pass_hash"   , md5($member["member_login_key"]."hehehe"), 1);


Còn dưới đây là thay đổi cách kiểm tra member_login_key thành kiểm tra khác:

sources / classes / class_session.php

Code:
if ($this->member['member_login_key'] == $cookie['pass_hash'])


Thay thành:

Code:
if (md5($this->member['member_login_key']."hehehe") == $cookie['pass_hash'])



By lyhuuloi.

PS: hehehe = mật mã bạn đặt.
http://lyhuuloi.com smilie
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 21/07/2006 01:20:26 (+0700) | #14 | 8404
subnetwork
Member

[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cập nhật bug cho kĩ, nếu cái này không làm tốt, một trăm forum cũng down .
CHMOD cho thật kỹ (kiểm tra xem thư mục nào có CHMOD là 777 thì CHMOD nó cho phù hợp)
Ngoài ra có thể tham khảo từ bên Invisionize.com trong đó có vài biện pháp tối ưu cho Invision .

Thân
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 26/07/2006 23:13:20 (+0700) | #15 | 10159
[Avatar]
buicathung
Elite Member

[Minus]    0    [Plus]
Joined: 21/09/2004 01:17:00
Messages: 53
Location: Địa Ngục
Offline
[Profile] [PM] [Yahoo!] [MSN]
xin bổ xung 1 chút:
với 2.0.x mở file sources/login.php
với 2.1.x mở file sources/action_public/login.php
[Up] [Print Copy]
  [Question]   các bước bảo mật cho forum IPB 28/07/2006 05:35:36 (+0700) | #16 | 10469
[Avatar]
kara_men
Member

[Minus]    0    [Plus]
Joined: 27/06/2006 02:32:38
Messages: 91
Offline
[Profile] [PM]

lyhuuloi wrote:
Nếu "hacker" không được thì dùng "attacker" vẫn được chứ anh conmale smilie
.....

By lyhuuloi.

PS: hehehe = mật mã bạn đặt. 

Bài của lyhuuloi tui thử rồi, lúc signin thì nó ra trang trắng chớ ko thấy wwwect vô lại dù cookie đã được set, vô trang khác thấy "đã đăng nhập".
[Up] [Print Copy]
  [Question]   Re: các bước bảo mật cho forum IPB 28/07/2006 06:22:41 (+0700) | #17 | 10488
hoangaus
Member

[Minus]    0    [Plus]
Joined: 27/06/2006 03:18:21
Messages: 13
Offline
[Profile] [PM]
thường thì giờ k ai lấy login_key để fake cookies nữa đâu bạn ạ ... forgot pass rồi nó lấy validating key từ table validating để rs pass của mình ... chỉ có thể check nếu rs id = admin id thì k cho rs thì có thể khác phục được hơn smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|