208 похожих чатов

Я вижу, люди умеют копать, и доказать что-то свое. На

поставленный вопрос ответить - нет. Вопрос был не в базах и почём. Он был довольно прямой. Можно ли что-то сделать с этой авторизацией. Все выше сказанные предложения имеют место быть, если не брать в учёт тот факт, что это все не нужно. Нужно именно то, что я спросил. Не более. Надеюсь все поняли мой первый вопрос? Если нет, ничего. Все равно, всем спасибо

11 ответов

9 просмотров

Если честно ничего не поняли

https://dev.1c-bitrix.ru/api_help/main/reference/cuser/authorize.php исходя из документации стоит заблокировать админа за нумером. Это действительно детский сад какой-то. Тогда если админ живет с ид 37495 то мамкины хакеры нескоро доберутся. Ну а если сообразят что можно перебрать в цикле, тогда им не помеха

Если кто может создать / редактировать файлы то что мешает в main сделать любую комбинацию логина/пароля верной, зайти и получить доступ к базе? И почему закрытие ФТП и выдача прав только на определенный раздел с запретом редактировать не решает проблему?

AndreyVe
Стоп стоп фтп одно права на базу другое

через фтп можно узнать пароли к бд

Все всё поняли кроме вас. Я вас спросил - почему вы боитесь авторизации? В чем вы видите угрозу авторизации? Давайте я вам отвечу за вас - если кто-то может создавать файлы на диске, то нет смысла "защищать" от него авторизацию, потому что не ничего такого, что можно сделать с авторизацией и нельзя без неё. Если я могу создавать файлы мне авторизация уже вообще не нужна - я и так всё могу сделать. Проверка авторизации это всего лишь if где-то в глубинах ядра. Что мешает мне заменить там условие на true? Или вообще убрать этот if?

🅲🅳🅴🆅-ʷᵉᵇᵈᵉᵛ Автор вопроса
Александр Маджугин
Все всё поняли кроме вас. Я вас спросил - почему в...

Я могу залить файл с тремя строками кода через дыру какой-то формы (как это было в компоненте форума когда-то) и просто входить как админ и дальше делать что угодно. И никакой фтп мне не нужен. Понимаете к чему я веду? Даже ваша авторизация мне не нужна. Всё, на мой вопрос уже ответ не нужен. Мою тему закрыли

🅲🅳🅴🆅 ʷᵉᵇᵈᵉᵛ
Я могу залить файл с тремя строками кода через дыр...

если вам могут закинуть такой файлик через форму, то скорее всего будут кидать какой-нибудь скрипт, который все подчистит в базе или подменит index файлы, или вы думаете атакующий полезет конкретно на ваш сайт в админку, что бы что? проверить настройки битрикса?

да тут другой кейс разработчик оставит за собой такой файл и не подчистит, или саппорт какого модуля или сам забудешь про него так то он не от чего не защищает (запрет такой авторизации)

Andrew Zahalski
да тут другой кейс разработчик оставит за собой та...

Да в том то и дело, что защиты никакой. Я это вижу как не продуманная трата ресурсов на решение пустой задачи

Михаил Сычев
Да в том то и дело, что защиты никакой. Я это вижу...

я один раз встречал на проектах такой запрет :)

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта