MyMuWeb 0.8, Final Release by Vaflan - Веб-сайты, MyMuWeb MMW

[Deathless]

Спойлер

ну стоит у человека сервер, делают на него фишинговую атаку(как вариант), а перед походом на скомпроментированный сайт он заходил на свой сайт с правами админа, и конечно, забыл выйти, а еще хлеще, если в соседней вкладке он открыт. На "плохом" сайте все его печеньки вместе с логином и паролем от сайта, где он админ утекают к злоумышленнику. И хорошо если на сайте нет в админке загрузочных модулей и возможности инжекта. И КАК тогда твоя защита на сайте и твои изощренные приемы валидации данных тебе помогут? как отбить атаку, когда злоумышленник имеет на руках валидный логин и пароль администратора? изобретать как у дессовера валидацию с фото? (идея, конечно, замечательная, но вреализации стоит ли того?
поэтому спрашивать "а какая защита у сайта", как минимум некорректно, имхо. Способы атаки бывают разные, даже ддос - разновидность атаки. Я тебе к этому говорю, гринь.

[свернуть]

В шоке...  

Логин на сайте работает через сессии, например.
Создать при логине дополнительную сессию проверки захэшированного аккаунта, пароля и ИП адреса, и проверять совпадает ли она.
В таком случае даже если сессии или куки украдут - воспользоваться не смогут, т.к. ИП будет уже другой.

[GrInYa]

epmak, ты не путай глупось человека с защиты сайта...когда говорица про защиту это не имееца в веду защита мозга админа а имееца в веду корекности работы кода чтоб нельзя обходить его...а если ты както узнал или угадал пароль админа(через другие ресурсы некасающих даного сайта/сервера) то это не делает тебя супер хацкером, и взлома тут 0%...

так что защита одно...а идти к админу домой и красть куки и потом зделать пакости на его сервере то это другое

[epmak]

epmak, ты не путай глупось человека с защиты сайта...

хорошо, теперь ответь на вопрос, скольким ты продал сайт и сколько из них действительно умеют обращаться с сервером как администраторы.
Как, по-твоему, всплывают некоторые интересные ресурсы?)

когда говорица про защиту это не имееца в веду защита мозга админа а имеется в веду корректности работы кода чтоб нельзя обходить его...

90% тех, кто спрашивает про защиту понимают буквально, поставил - спи спокойно, я об этом. Извини, если некорректно выразился до этого, что ты не правильно меня понял. Поэтому я и говорю, 100% защиты нет.

так что защита одно...а идти к админу домой и красть куки и потом зделать пакости на его сервере то это другое

зачем ходить домой?) пару скомпрометированных сайтов решат эту трудность. Накрайняк попросить партизана, он те трояшку подгонит, а то и сразу пароль, за определенное вознаграждение...

просто к чему я веду. Вся защита всегда взаимосвязана. Не поставишь антивирь - поймаешь вирь, не проведешь валидацию данных при заполнении формы на сайте - получишь инжект, а еще хлеще - XSS. Поэтому успокаиваться на том, что на сайте все хорошо никогда не стоит. Хацкеры они ведь ребята такие, в одном месте  шило, и находят новые способы и разрабатывают технологии...
естественно, когда я выкладываю сайт, я стараюсь сразу делать максимальную "защиту", в данном случае проверять все входные данные и не допускать логических ошибок в скриптах, так как в некоторых случаях это может быть куда хуже, чем просто где-то не заэкранировать кавычку, имхо.

[Deathless]

А ермак оказывается продвинулся, теперь он не просто пхп-кодер, а ещё и хацкер.
Странно что про уязвимости он так мало знает и даже не понял что я ему написал...

[GrInYa]

хорошо, теперь ответь на вопрос, скольким ты продал сайт и сколько из них действительно умеют обращаться с сервером как администраторы.

даже незнаю...но меня это не волнует...когда они меня српашивают: какая защита? А взломать смогут?...я им и отвечаю... "От иньекции ты точно будешь защищен...через сайт взломать никак. почему? да потому что не один раз тестировал весь сайт и не один раз просмотрел код!"

[epmak]

даже незнаю...но меня это не волнует...когда они меня српашивают: какая защита? А взломать смогут?...я им и отвечаю... "От иньекции ты точно будешь защищен...через сайт взломать никак. почему? да потому что не один раз тестировал весь сайт и не один раз просмотрел код!"

ну оно и верно.
Но обязательно найдется тот, кто скажет что веб твой говно, что, мол, через него сломали. А то что сам шастал по ссылкам непойми каким никто не скажет

[Deathless]

Ермак, ты говорил про то, как можно "угнать" сессии.
Но смысл воровать сессию или куки, если они будут захэшированы в МД5 с ИП-адресом пользователя?
Как ты тогда подменишь?
Это так называемый checksum сессии.

P.S.: А чтобы наверняка не получилось ничего, можно привязать сессию к $_SERVER['HTTP_USER_AGENT'].
P.S.S.: Я думаю ты наконец-то понял о чём я говорил.

[ВиРуС]

даже незнаю...но меня это не волнует...когда они меня српашивают: какая защита? А взломать смогут?...я им и отвечаю... "От иньекции ты точно будешь защищен...через сайт взломать никак. почему? да потому что не один раз тестировал весь сайт и не один раз просмотрел код!"

Не заявляй о своей неуязвимости и невзламываемости - всегда найдется кто-то, кто докажет обратное.(с)Мэрфи

[GrInYa]

Не заявляй о своей неуязвимости и невзламываемости - всегда найдется кто-то, кто докажет обратное.(с)Мэрфи

давай небудем философить ...

[epmak]

все что хотел я сказал. если ты такой упертый - твое дело. мне лениво доказвать что-то тому, кто уверен в своей правоте на 100% и читает только то, что хочет прочесть. Я просил подтереть флуд, но ты не почесался, тогда своим посты я сотру сам. Грине спасибо за интересную беседу, остальных прошу извинить за балаган.

[Deathless]

все что хотел я сказал. если ты такой упертый - твое дело. мне лениво доказвать что-то тому, кто уверен в своей правоте на 100% и читает только то, что хочет прочесть. Я просил подтереть флуд, но ты не почесался, тогда своим посты я сотру сам. Грине спасибо за интересную беседу, остальных прошу извинить за балаган.

Первыми с корабля бегут...
Доказать ничего не смог, за то спорить без аргументов ты умеешь.
Заметь, я тебе расписал всё с примерами, ты же писал пустые слова, мол я не прав.
Я тебя попросил доказать это, ты начал обливать мой сайт грязью тоже без оснований.
В итоге что?
На меня опять перевёл стрелки и хочешь чтобы я чувствовал себя виноватым?
Молодец...
Про тебя могу сказать только одно - ты пустослов и даже не удосужился прочитать материал, который сам выложил...

P.S.: И стирать сообщения ты будешь не из-за "балагана", а из-за того что тебе стыдно, что ты был не прав.

[epmak]

во-первых, доказывать что-то тебе - мне не выгодно из за ряда причин. В тех ссылках я тебе конкретно дал понять, что заменить агент - запросто, убить рефер - запросто. и даже по кукам с сессией можно изловчиться и поиметь доступ на сайт, ты же мне толдычишь, нет нельзя все уг, ничего не сломать, и я балабол
я не против.  Все, утомило меня это дело, честно, я тебе рекомендовал пересмотреть в сайте все, если класс сольет его еще раз, я только спасибо ему поставлю.

[Deathless]

во-первых, доказывать что-то тебе - мне не выгодно из за ряда причин. В тех ссылках я тебе конкретно дал понять, что заменить агент - запросто, убить рефер - запросто. и даже по кукам с сессией можно изловчиться и поиметь доступ на сайт, ты же мне толдычишь, нет нельзя все уг, ничего не сломать, и я балабол
я не против.  Все, утомило меня это дело, честно, я тебе рекомендовал пересмотреть в сайте все, если класс сольет его еще раз, я только спасибо ему поставлю.

Ты опять не понял.
Ну допустим, ты украл сессию в мд5 с аккаунтом, паролем, ип и юзер агентом.
Сколько времени уйдёт на разхэширование этой строчки + от аккаунта с паролем много чего не добьёшся...
Куки и сессии было модно красть лет 5-6 назад, сейчас уже много способов как их защитить.
Я клоню к тому, что это бесмысленная затея и, например, воровать методом XSS уже мало где прокатывает.

Тебе на заметку:
Сайт ни разу не слили (посредством уязвимости в самом сайте) и не взломали за полтора года.
Один сайт был слит посредством phpmyadmin.
Второй раз - просто передали проект с сайтом другому человеку, за что клиенту можно сказать огромное "спасибо".
И при чём тут Kla$? Он как бы мой клиент.

P.S.: Советую тебе не клеветать на других людей или ты так пытаешься себя возвысить?
P.S.S.: Вот опять же, ты пустослов, без аргументов нагнал на мою работу и Kla$'a в последней строке своего сообщения.
И только попробуй возразить что это не так!

[ketanof]

если класс сольет его еще раз, я только спасибо ему поставлю.

С чего ты меня так подставляешь? может предоставишь факты? ) если ты этот вывод сделал по факту зевса сайта в паблике - то это был всего лишь ответный релиз на DEW в паблике, и то сайт Руслана попал в паблик из-за кривых рук некого клиента и не как из-за  "дырке в сайте" тем более новые версии сайта DEW не могут быть использованы теми кто их слил - и это факт (клиенты знают о чём речь), на форуме время от времени будут появльтся новые релизы в зависимости согласия неких лиц, кто бы не слил сайт - он не сможет его использовать по крайней мере до того времени пока я или Руслан не увидят его на ходу.

[PaSaD]

а возможно ли поставить web на хостинг? если да то можете дать сылку,зарание спасибо.

[SnowLy]

Люди я не понимаю в чем дело, уст MMW 6-7 все норм, хочу 8 у меня он устанавливается но потом белый экран  можете сказать в чем дело.

[vr-frost]

Выдает MSSQL server is offline OR I can't Access to it! при запуске install.php
в config.php логин и пароль прописал
пробовал appserv и xampp - один результат,
Не знаю даже куда копать... Может в mssql 2000 проблема?

[dipi]

MyMuWeb 0.8 Final Release by Vaflan

Есть и хорошая новость и плохая, думаю начнём с хорошей...
Я сделал MyMuWeb 0.8 и это уже Final от меня, я больше не буду обновлять ММВ.
Но есть такой добрый человек как (будет_потом), который будет всё делать место меня для ММВ.
Суть в том что я отдаляюсь от "Mu Community". Мне очень было приятно для вас делать сайт.
Сам использую этот же сайт по сей день, но пора двигаться и дальше.
Надеюсь (будет_потом) справиться с ММВ и сделает ёще лучше и ещё функциональной!

А теперь более подробней о последнем релизе:
- Сразу уже есть баг фикс, который был для 0.7
- Поправлен DuelMaster, теперь отображает
- Поиск Пользователя в разделе Поиск
- Менять модуль на главной странице (стандарт: news)
- Авто Загрузка тем в theme();
- Новая statistics('fullblink'); не надо дописывать скрипты как для statistics('blink');
- Авто Добавления всех функций из папки "includes/func/"
- Добавлено в bbcode - [video ] YouTube.com # [ /video]
- Кеш статус сервера, что позволяет страницы быстрее загружаться
- Добавлены классы для "jpn protocol"
- Язык теперь не в сессии а в кукисах
- Можно менять стиль админки, загрузив admin.css в папку с темой (дизайнерам)
- Усовершенствована установка, определяет МД5 + включен ли модуль connect mssql
- Тестирован на appserv 2.6.0
- Защита улучшена в sql_check.php (Теперь все чары отображать будет)
- Поддерживает 65к статы
- Легко настраиваемый модуль Statistics, через конфиг.
- Поправлен Бан Список, а так же улучшен (Ниже будет JOB для авто разбана)
- Используем место $who_online это who_online() и $voting - voting() (дизайнерам)
- Выведено на более видное место для администратора сообщения Request
- Почта, где в базе нет T_FriendMail, предупреждает что почта не работает
- Поправлена кодировка для utf_to_win(), почта должна отображаться нормально
- Создаёт резервную копию базы и восстанавливает в админ панели
- Новый двигатель у админ панели, не ломаема
- Авто Загрузка информации о Замке из файла "includes/MuCastleData.dat"
- Все настройки возможности админа и гм в конфиге
- В GM Options теперь можно Банить и Редактировать Zen
- Встроенный чат, показывает кто онлайн
- Новый не большой форум!
- У персонажа указан Статус (Member, GameMaster, Blocked)

Так же, тек то не хотят что бы у них стёрлись новости, ссылки на файлы,
Необходимо заменить всё содержимое в "includes/db_mmw.sql" на вот это:
Скачать: update_db_mmw_0.7.sql

Скачать:
Источник: https://mymuweb.ru/forum/2-955-1

klasna

[SvobodaDL]

проблема с сайтом хотел посоветоваться .....  на 2000 sql работает отлично а на 2008 выбевает вот это

Loading php_mssql.dll Falied!
Please Enable php_mssql.dll in your php.ini

все настроено правельно всеподключено и все файлы есть
как это исправить ?

[Bioss]

у меня выбивает пару ошибок немогу понять почему...
Одна после регистрации пользователя...
вот скрин:

Спойлер

[свернуть]

А остальные в админ панелипереходя на каждую ссылку появляются новые ошибки но все они связаны с функцией date_default_timezone_set() ...
вот скрин:

Спойлер

[свернуть]

подскажите как это исправить плиз...