個人有兩各論壇
分別是網路上申請的免費論壇以及用免費空間架設的論壇
近來在申請來的免費論壇發現安全上好像出了問題
該論壇我設定有九成以上的版面都必須有特定的權限才能進入
但是近來發現有人以訪客身分卻能進入特定版面讀取文章
我自己也常是過不登入的情形下自己並無法讀取文章
那是否在安全上出了哪種問題?
由於是免費的論壇
安全設定上自己也無法做出多少改進空間
想請教各位資深的站長們
這種情形是如何發生的
是否如朋友所言、有人可以利用網址的變換或是特殊工具達到此目的
有無防範方式..
關於安全上的問題
版主: 版主管理群
如果是指管理員於系統管理控制台裡看到訪客正位於需特定權限才能讀取的版區
那麼個人認為這並不是什麼安全性上的問題
一個很簡單的小實驗
1.先以管理員身份登入論壇
2.以訪客身份另開一個新的瀏覽視窗並嘗試連結某特定版面
3.這時訪客的瀏覽視窗會出現登入畫面
4.管理員進入系統管理控制台, 會發現該訪客正位於那個需要特定權限才能讀取的版面上(註1)
其實這是因為phpBB是先判斷你開啟的是那一個頁面後(註2), 才去判斷使用者的權限
因此才會有這種狀況出現
註1:
因session更新的問題, 可能需要多試幾次才會看到結果
註2:
以viewforum.php來講, 就是這一段程式碼在判斷你是位於那一個版面
那麼個人認為這並不是什麼安全性上的問題
一個很簡單的小實驗
1.先以管理員身份登入論壇
2.以訪客身份另開一個新的瀏覽視窗並嘗試連結某特定版面
3.這時訪客的瀏覽視窗會出現登入畫面
4.管理員進入系統管理控制台, 會發現該訪客正位於那個需要特定權限才能讀取的版面上(註1)
其實這是因為phpBB是先判斷你開啟的是那一個頁面後(註2), 才去判斷使用者的權限
因此才會有這種狀況出現
註1:
因session更新的問題, 可能需要多試幾次才會看到結果
註2:
以viewforum.php來講, 就是這一段程式碼在判斷你是位於那一個版面
代碼: 選擇全部
//
// Start session management
//
$userdata = session_pagestart($user_ip, $forum_id);
init_userprefs($userdata);
//
// End session management
//謝絕所有私人訊息詢問外掛相關問題
有問題請直接於版上發表, 集思廣議絕對比專挑特定人士詢問來的好
竹貓禁止發表含破解相關的軟體, 違者砍文
不要跟我講別的地方都可以發, 為什麼竹貓就不行
免費不等於破解, 傻傻的搞不清楚
有問題請直接於版上發表, 集思廣議絕對比專挑特定人士詢問來的好
竹貓禁止發表含破解相關的軟體, 違者砍文
不要跟我講別的地方都可以發, 為什麼竹貓就不行
免費不等於破解, 傻傻的搞不清楚