Страница 1 из 11
Модератор форума: webanet 
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Уязвимость модели ("Левый" модератор, которого не видно)
Уязвимость модели
Ultersein
Сообщений: 13
Репутация: 0

Сообщение # 1 | 16:33:02
Тема скорее юмористическая, хотя мне она доставила немало хлопот (и пока - продолжает доставлять). По внутреннему конфликту на меня обиделся один из юзеров (женщина), оказавшаяся шустрой и продвинутой. Более чем я. Забанивание дало тот эффект, что я некоторое время пребывал в уверенности что "всё ОК", пока не увидел этого юзера собственными глазами вполне спокойно "под баном" присутствующего на сайте. Никаких серьёзных мер (типа блокировки по IP) я не принимал - не такое уж секретное у меня дело, чтобы особенно париться. Но потом стали исчезать сообщения из форума. Так, вдруг, раз - и куда-то пропало. Я быстро понял, что это месть и понял кого, но некоторое время тупил, не допирая, как она это делает. Потом сообразил - удалять сообщения можно только заходя с пустующих прав модератора (у меня очень мало народу, специфика, модераторы не требуются). Итак, модератор "лишен прав", юзер забанена, но она опять свободно читает любые отделы форума. Сейчас пытаюсь принять более кардинальные меры. Сменил пароль админки, например.

Вопрос: где может быть дырка, позволяющая такие закулисные фокусы?

P.S. Топик сообщества про методы обеспечения безопасности сайта я читал.
webanet
Личный менеджер
Сообщений: 23015
Репутация: 4865

Сообщение # 2 | 17:18:14
Ultersein, что такое забанен по-вашему. пользователи, которые замечаниями забанены даже навсегда действительно передвигаются и читают форум. никаких действий предпринять они не могут. перенесенный в группу заблокированные вместо форума и его тем вид страницу доступ запрещен. проверьте права юзеров на удаление своих сообщений и тем
единственная возможность пойти на повышение в правах (во всяком случае была) это на сайтах с uid пользователями, если администратор переносил юзера в группу заблокированные и потом удалял юзера (массовое удаление/перенос), то следующая авторизация юзера по uid возвращала ему права пользователя. но если администраторы не совершают подобного, то юзер остается навеки пылится в группе без прав. по умолчанию у группы заблокированные прав нет вообще
на счет исчезающих тем почитайте, может ваш случай http://forum.ucoz.ru/forum/45-61223-1

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Ultersein
Сообщений: 13
Репутация: 0

Сообщение # 3 | 18:31:22
Цитата webanet ()
Ultersein, что такое забанен по-вашему.
По мнему это запрет доступа во все отделы сайта как бы изначально, Во всяком случае этот доступ, как видно из опыта, регулируется в правах юзеров. Там птички для забаненных мною были убраны вручную. Если эти птички не отражают внутренней механики, то кто бы мне объяснил зачем оно так...
Цитата webanet ()
единственная возможность пойти на повышение в правах (во всяком случае была) это на сайтах с uid пользователями, если администратор переносил юзера в группу заблокированные и потом удалял юзера (массовое удаление/перенос) ...

Таковых действий мной не производиволсь. Никто массово (одномоментно) не блокировался и никакие аккаунты я не удалял "с концами". Они просто заблокированны (banned) с теоретическим (а иногда и с практическим) с охранением возможности возврата прав доступа.

Цитата webanet ()
на счет исчезающих тем
Изчезали не темы целиком, а отдельные сообщения.
Сообщение отредактировал Ultersein - Вторник, 04 Окт 2016, 18:33:09
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Уязвимость модели ("Левый" модератор, которого не видно)
Страница 1 из 11
Поиск: