Zabezpieczenie Joomla przed atakiem SQLinjection Drukuj
Ocena użytkowników: / 0
SłabyŚwietny 
Wpisany przez Jan Jackowicz-Korczyński   
poniedziałek, 28 lutego 2011 03:20

Warto uzupełnić  swój serwis oparty na CMS Joomla dodatkiem zabezpieczającym przed włamaniem za pomocą metody SQL Injection. (Dla mniej zorientowanych co to jest, zobacz:  pl.wikipedia.org/wiki/SQL_injection ).

Ciekawe rozwiązanie zaproponowała Jola Surma tworząc dodatek,  zgrabnie nazwany: SPADAJ. Dostępny on jest do pobrania w serwisie: joomla.pl

Zainstalowany i opublikowany dodatek  powoduje, że natręt, zamiast oryginalnego hasła, widzi dokładnie to, co chcemy mu pokazać np. komunikat "Spadaj na drzewo".

Wersja 1.5.1 oferuje:

  • wyświetlanie zamiast hasła
    • własnego tekstu
    • zaszyfrowanego fałszywego hasła
  • wybór, czyje hasła mają być chronione
    • superadministratorów
    • wszystkich mających dostęp do zaplecza
    • wszystkich zarejestrowanych
  • wybór powiadamiania o próbie ataku
    • zapis do pliku - Data, IP, Referer (strona, na której użytkownik został przekierowany za pomocą odnośnika),
    • Metoda (np. get), Przeglądarka i Połączenie.
    • dodanie informacji do wiadomości administratora (panel administratora)
    • zapis do pliku i wiadomość do administratora
    • id administratora powiadamianego i id użytkownika traktowanego jako nadawcę do ustawienia w konfiguracji dodatku.

Po zainstalowaniu skonfigurować, włączyć i zapisać dodatek.

Aktualizacja polega na nadpisaniu plików, ustawieniu wybranych opcji i zapisani.

Dodatek Spadaj został przetestowany przez @trzepiza w "trudnych" warunkach i spisał się dobrze.

Testowanie może polegać na umieszczeniu w dowolnej części strony - kodu, który będzie usiłował wyświetlać hasło pobrane z bazy danych.

(informacja cytowana z serwisu: pliki.joomla.pl/)

Poniżej opcje ustawienia dodatku: