Що таке CSRF Аттак?
Крос-сайтовий підробка запиту - CSRF Аттак ґрунтується на виконанні несанкціонованих запитів на сайті. Наприклад користувач може легко підмінити виконати наступне посилання (якщо він має навіть примітивний доступ до адмінки):
Щоб захиститися від CSRF АТТАК, в форму повинен бути доданий спеціальнаий код токена запиту. Токен запиту - це випадкова рядок, яка використовується для аутентифікації, і діє на час виконання сесії користувача. Ця проста міра захисту є дуже ефективною і дозволяє уникнути великого відсотка потенційних CSRF АТТАК, однак не дає можливості захиститися повністю.
Захист від повторюваних CSRF АТТАК
За допомогою токена можна захиститися від повторюваних АТТАК. Приблизно це діє так: для користувача заводиться сесія, і випадковий ряд чисел і при оновленні сторінки числа змінюються. В результаті користувач не може відправити з однієї сторінки запит двічі.
Спеціально для цього Фреймворк Joomla містить дуже просту функцію. яка однаково добре захистить POST і GET запити.
POST запит
Для того щоб захистити дані передаються формою через POST-запит, додайте в вашу форму наступний рядок:
У підсумку цей рядок буде виглядати так:
GET запит
Перевірка токена
Перш ніж обробити отримані дані, ви повинні перевірити токен наступним способом:
Також ви можете вказати конкретний вид оброблюваних даних:
Рекомендовані процедури щодо забезпечення безпеки
Хоча ці методи і дозволять запобігти частина АТТАК, ви як системний адміністратор повинні обов'язково виконувати такі процедури:
Слідуючи даними інструкціями при веб-серфінгу ви позбудетеся від безліч загроз атак на ваш сайт
(Прим. Котофеіч: Думаю це відноситься тільки до незнайомих вам сайтам).
Дірка в com_content
Лікуємо вірус на сайті
Початковий огляд сайту виявив, що у клієнта закритий доступ по фтп, що звузило коло підозрюваних вразливостей, стало бути отвір в якомусь скрипті движка joomla. Касперський яро.
Troj / JSRedir-MH
Знову вдарив грім зареженія сайтів новим вірусом Troj / JSRedir-MH. І так в коротко по вірусу Troj / JSRedir-MH. Вірус або троян куди цікавіше ніж свої предшествінікі, тепер.
Доопрацювання розширення для розсилки Send Email JK
Сьогодні поділюся трохи цікавою інформацією для власників сайтів зібраних ан joomla. Рано і пізно постає завдання підписки і розсилки інформації з сайту, це може бути різна постановка заду.
Привіт Ie 10 регулярка
Kunena замінюємо посилання на профіль користувача
Всім привіт, знову знову Кунена, отримав завдання на допилювання популярного форуму Kunena, сьогодні треба було поміняти посилання на профіль користувача. Це пов'язано з тим, що на сайті варто соціа.
Працює на Kunena - навіщо, чому?
Kunena позбудемося зайвих quote
Для тих хто дійсно робить сайт для людей, моя наступна замітка. Розповім вам, як позбавитися від зайвих quote в постах на форумі kunena. У мене кілька тематичних сайтів з нормальною відвідуючи.
Обробка параметрів розширень joomla
При розробці розширень для CMS Joomla, таких як плагіни, модулі, компоненти або шаблони, часто виникає необхідність отримати параметри розроблюваного або будь-якого іншого розширення. В цій.
Кunena Крамсает шаблон
1. В папці \ components \ com_kunena \ template \ ваш_шаблон \ знаходимо файл template.xml і вставляємо в нього такий шматок (щоб була можливість вибору показувати це поле чи ні): Захист сайту joomla - компонент admin tools розширення