Não sei se o módulo Protector está funcionando

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
Bruno  Iniciante   Postagens: 0

amigos do XoopsBR, estou com dúvida se o "Protector" do meu portal esta funcionando corretamente, porque na aba.
"Security Advisory" do módulo aparece como esta abaixo:

'register_globals' : off ok.
'allow_url_fopen' : off ok.
'XOOPS_DB_PREFIX' : XOOPS Not secure.
This setting invites 'SQL Injections'.
Don't forget turning 'Force sanitizing *' on in this module's preferences.
'mainfile.php' : unpatched Not secure.
XOOPS Protector can protect your portal under limited conditions as long as it is called from mainfile.php
You should edit your mainfile.php like written in README.

Está correto? Tem como fazer algum teste e como fazer?

Rmarx  Iniciante   Postagens: 0

Aparentemente está funcionando sim, mas lembre-se de que você deve fazer alterações no mainfile.php

define('XOOPS_GROUP_ADMIN', '1');
Define('XOOPS_GROUP_USERS', '2');
Define('XOOPS_GROUP_ANONYMOUS', '3');

Include( XOOPS_ROOT_PATH . '/modules/protector/include/precheck.inc.php' ) ;

If (!isset($xoopsOption['nocommon'])) {

E segundo o info indicado por você o prefixo XOOPS está desprotegido.
Va em prefrencias do seu módulo protector e veja maiores configurações.

Bruno  Iniciante   Postagens: 0

Amigo Hostmarx, grato por sua resposta, mais ainda estou com uma dúvida, o info que você "citou" é como eu devo fazer(alterações) no mainfile.php?

At+

Rmarx  Iniciante   Postagens: 0

Bruno escreveu:
Amigo Hostmarx, grato por sua resposta, mais ainda estou com uma dúvida, o info que você "citou" é como eu devo fazer(alterações) no mainfile.php?

At+

Exatamente isso!
Coloque o comando citado:
define('XOOPS_GROUP_ADMIN', '1');
Define('XOOPS_GROUP_USERS', '2');
Define('XOOPS_GROUP_ANONYMOUS', '3');

Include( XOOPS_ROOT_PATH . '/modules/protector/include/precheck.inc.php' ) ;

If (!isset($xoopsOption['nocommon'])) {

Coloque isso antes de.
...antes da linha if (!isset($xoopsOption['nocommon'])) {.

Rafael Cruz  Regular De: JoÒo Pessoa - PB  Postagens: 46

Boa tarde!

E por segurança, você deve alterar o prefixo das tabelas do seu banco de dados.

Você faz isso usando o proprio módulo protector.

Lá em Gerenciamento de Prefixos. você copia, colocando um nome diferente. Depois edita o mainfile.php trocando o prefixo antigo pelo novo.

Qualquer coisa dá um

Valeux

Bruno  Iniciante   Postagens: 0

Valeu moçada, funcionou 100%.

At+

Rmarx  Iniciante   Postagens: 0

Bruno escreveu:
Valeu moçada, funcionou 100%.

At+

ACONSELHO A TODOS que FAZEM USO DO XOOPS A INSTALAR E CONFIGURAR O MÓDULO PROTECTOR!

Donwload aqui!

Carlos Eduardo Santana Lorenzon  Participativo De: Florianópolis - SC - Brasil  Postagens: 123

Hostmarx escreveu:
Bruno escreveu:
Valeu moçada, funcionou 100%.

At+

ACONSELHO A TODOS que FAZEM USO DO XOOPS A INSTALAR E CONFIGURAR O MÓDULO PROTECTOR!

Donwload aqui!

é hostmarx é fundamental o uso do protector :)
Quem tiver duvidas ainda quanto a instalação não se acanhe em perguntar, tem vários aqui disposto e responder a suas duvidas :)

Rmarx  Iniciante   Postagens: 0

Concordo em genêro e grau, o João Barroca, o Adinaldo sabem bem quantome importo com segurança e por isso sempre batona mesma tecla SEGURANÇA afinal sem ela não existe portal seguro!

Carlos Eduardo Santana Lorenzon  Participativo De: Florianópolis - SC - Brasil  Postagens: 123

Hostmarx escreveu:
Concordo em genêro e grau, o João Barroca, o Adinaldo sabem bem quantome importo com segurança e por isso sempre batona mesma tecla SEGURANÇA afinal sem ela não existe portal seguro!

é mesmo.
Agora vou bater na mesma tecla do João Barroca Hehe, temos que postar um exemplo de um htacces seguro

caruaru  Ocasional   Postagens: 28

Eu acho que está faltando uma linha. Pois o meu Protector só ficou ok quando coloquei assim:

define("XOOPS_GROUP_ADMIN", "1");
define("XOOPS_GROUP_USERS", "2");
define("XOOPS_GROUP_ANONYMOUS", "3");

Include( XOOPS_ROOT_PATH . '/modules/protector/include/precheck.inc.php' ) ;

if (!isset($xoopsOption['nocommon']) && XOOPS_ROOT_PATH != '') {
include XOOPS_ROOT_PATH."/include/common.php";
}

Include( XOOPS_ROOT_PATH . '/modules/protector/include/postcheck.inc.php' ) ;

}
?>

caruaru  Ocasional   Postagens: 28

Gostei da ideia:
"temos que postar um exemplo de um htacces seguro".

Pois o criei no diretório do XOOPS mas não sei editar.
Por favor me ajudem!

Ainda estou com "dois inseguros".
'register_globals' : on INSEGURO
'allow_url_fopen' : on INSEGURO

Como resolver?

Luciano de A. Rodrigues  Membro De: Cabo Frio RJ  Postagens: 153

Não entendo porque o pessoal não inclui o protector no núcleo por padrão.

Bruno  Iniciante   Postagens: 0

Com certeza iria facilitar muito, vai entender.

caruaru  Ocasional   Postagens: 28

Bem pessoal:
Antes que tirem conclusões precipitadas, deixem explicar:

Instalei o Protector normalmente, como qualquer outro módulo. Quando fui no Guia de Segurança, ele dizia que:
'register_globals' : on INSEGURO
'allow_url_fopen' : on INSEGURO

E me aconselhava a criar no diretório do XOOPS um .htaccess.
E foi o que fiz, porque não tenho acesso para modificar o PHP do servidor, porque sou um cliente não um administrador.

Porém, criei mas não sei editar. Então está meu pedido. OK?
Daí eu queira se possível aquelas palavrinhas mágicas que tormasse o register_globals: off e assim por diante.

Não sei se falei besteira. Se falei me desculpem.

Luciano de A. Rodrigues  Membro De: Cabo Frio RJ  Postagens: 153

Acho que isso aí só entrando em contato com seu host, não estou lembrado de nenhuma script para isso aí não.

Você fez as alterações no mainfile.php?

caruaru  Ocasional   Postagens: 28

Sim

Rmarx  Iniciante   Postagens: 0

caruaru escreveu:
Sim

Realmente, na maioria das vezes só o adm do root tem acesso a esse tipo de edição de arquivos.

caruaru  Ocasional   Postagens: 28

Vejam a mensagem que o Protector me dá:

'register_globals' : on INSEGURO
Esta configuração permite uma variedade de ataques por injeção.
Se seu servidor suportar .htaccess, crie ou edite o .htaccess no diretório em que o XOOPS estiver instalado.

/path do meu servidor para o xoops//.htaccess.

Php_flag register_globals off

caruaru  Ocasional   Postagens: 28

Não se preocupem pessoal. Vou me comunicar com o provedor, pedindo para que modifiquem para off.
É o modo mais fácil.
Obrigado pela boa vontade.
Até a próxima.

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 40 visitantes neste momento... (19 na seção Fóruns)

Associados: 0
Anônimos: 40

outros...

Banner XOOPS Cube