O segredo do Painel de Controle - Bizur do Robson

As páginas com maior número de tráfego é a do Painel de Controle do Administrador do fórum em Forumeiros, isso é certeza pelo simples fato da maioria dos administradores mudarem freneticamente o layout de seus fóruns ou as funções que o serviço fornece.
O maior problema aparece quando é questionado sobre a segurança do seu painel de controle. Você já pensou nisso?


Seu Painel de Controle tem a segurança implacável, sua estrutura é compreensível pela parte de fora, mas pela parte de dentro, abriga várias função ocultas que você não vê. Um delas, a permissão da visualizações de funções entre CO-ADMINISTRADORES e FUNDADORES.

Acesso limitados?

Os fundadores tem acesso de maneira global no fórum, e a única coisa que impede os CO-ADMINISTRADORES de verem o que fundadores veem, é o PHP. Esse sistema e código é usado em sites que precisam de proteção, e no PHP é possível esconder códigos HTML, JavaScripts e outros atributos que não são ocultos no código fonte das páginas de sites.
A estrutura do Painel de controle é formado desta maneira:

Exemplo escreveu:<?php
session_start();
include("database.php");
?>

<?php
if($_SESSION["admin"]=="on"){ ?>
<div class="coins-bottom">
<div class="left-bottom"></div>
<img src="https://2img.net/i/fa/admin/icones/bottom-right-blanc.png" align="right"></div><br clear="all" /><br />
<div class="coins-top"><div class="left-top">  
<img src="https://2img.net/i/fa/admin/icones/small_ico/type_li.png" align="absmiddle"> Configuração</div>
<img src="https://2img.net/i/fa/admin/icones/top-right-gris.png" align="right" class="corner-right"></div
><br clear="all" /><div class="coins-border">
<div class="submenu"><a href="#" ><span>Endereço do fórum</span></a></div>
</div>
<?php } ?>

Ela é vista pela fundador assim:
De qualquer forma, o que impede os CO-ADMINISTRADORES de verem esse pequeno trecho para mudar o endereço do fórum, é o código PHP if($_SESSION7BB92B]admin"]=="on"){ .
Para todo caso, todo código PHP em uma página que tenha sua extensão .php tem o seu código oculto. Ou seja, todo código que estiver por debaixo dos panos do PHP, não é visto no código fonte, como no exemplo citado acima.

Tirando a prova

Acesse o seu painel de controle agora, e quando estiver com ele aberto, precione as teclas Ctrl + U do seu teclado. Ao fazer isso, procure por qualquer extensão PHP. Ou seja, qualquer extensão que tenha o nome <?php. Encontrou

Além de bloquear o código fonte, isso permite que administradores secundários acessem as ferramentas do fundador e venham a mudar o URL do seu fórum, templates, créditos, configurações do rodapé e outros.

A famosa desconhecida

A famosa desconhecida Logicamente quem é famoso é conhecido, porém, este não é o caso da TID. As TID tem sido observada frequentemente pelos usuários hackers, admiradores da "desgraça" de alguns fóruns na rede. Porém, houve pequenos boatos em quem as TIDs são as principais fontes de permissão para acessar o CPAINEL com a conta fundadora... Será mesmo verdade?


Afinal de contas, o que é TID mesmo A tid é responsável por gerir o cookie que será armazenado em seu computador por alguns minutos, cedendo a oportunidade de você não se perder no painel de controle enquanto acessa. Geralmente, os cookies enviados do painel de controle duram menos de 10 minutos para quem gosta de ficar na página principal do painel do administrador. Quando o tempo da sessão é finalizado, o cookie é excluído e automaticamente outro é criado para substituir o antigo, fazendo com que você volte para a página principal do Painel de Controle.

Zezinho escreveu:Mas... Se for assim então, quer dizer que mesmo ainda modificando as coisas no Painel, eu posso perder esse cookie e ser enviado para a página principal?

Não, porque os cookies só vencem depois de um tempo que a sessão é finalizada. Não entendeu? Vamos compreender de outra forma. Imagine você acessando uma página na internet, que seja de um banco. Acima do site, há escrito A sessão expira em 1 minuto, isso quer dizer que se em um minuto você não fizer nada, você perderá os dados que foram arquivados no seu cookie. A página será direcionada para o início, onde você vai ganhar outro cookie, e novamente os minutos estarão correndo.


Já ficamos mais de meia hora no painel de controle e nada ocorreu... Isso não é mentira
Como explicado em outro tema que abri - O que são cookies? -, determinadas páginas podem enviar a quantidade de cookies para o computador, tendo ela a duração de uma hora, duas, três, um mês, três meses, um ano, um século e assim por diante. Logo, algumas páginas tem a duração de sessão (cookies) maior do que outras. Será por causa da vulnerabilidade? Não sei...

O conforto das TID's facilitam isso, porém, o rumor temático e polêmico que é possível acessar o Painel de Controle do fundador através de uma TID é totalmente mentira. Mentira mesmo!! Quer fazer a prova?

Testando a DEMO

Abra o seu navegador padrão, e em seguida, abra outro navegador caso tenha instalado. Se preferir, use o Internet Explorer do seu Windows mesmo.

Agora, com o navegador padrão acesse seu Painel de Controle e copie toda a sua TID:
Ao fazer isso, abra o navegador extra e como URL, adicione o endereço do seu fórum + a TID, ficando mais ou menos assim:

http//urldoseuforum.forumeiros.com/admin/index.forum?part=admin&tid=13a37044053aef96a2c24942b21d3535

Sua TID é tid=13a37044053aef96a2c24942b21d3535. Ao fazer isso, deixe-a aberta por vários minutos em um determinado lugar. Exemplo, nas opções do JavaScript. Depois de quase meia hora por exemplo, acesse a aba Visualizações e note bem a sua TID. Veja que ela foi modificada para outros números e letras...

tid=bb106142a94adda2d50ba597868f89e2

Isso é verdade mesmo, ou não funcionou com você ? Caso não tenha acontecido o mesmo, é só continuar no seu dia a dia observando esse detalhe e verá que a TID sempre muda para garantir a segurança do acesso direto pelo URL do painel.

De fato ao usar o endereço de URL do acesso ao seu Painel de Controle em outro navegador, eu não consigo acessá-lo de forma direta, porque ele me solicita Login e Senha.

FUNCIONOU!!! Ops Não funcionou.

Acesso direto pelo /admin/

Você deve estar adorando saber disso tudo, não é? Então, mais um bom conhecimento para seu dia, será o acesso direto com o uso do endereço+/admin/.


Essa informação deliciosa tinha sido dada em nosso blog a tempo atrás - Mais segurança em Forumeiros - e não foi tão repercutido entre os administradores quanto a função do lightbox ou da função do JS que informa quando você tem novos amigos. Mesmo assim, tendo em vista a segurança principal, Forumeiros pensou em você novamente.

Quando você tiver algum problema no qual os usuários conseguiram burlar todo o seu "sisteminha" de login, você, através dos conhecimentos adiquiridos com o famoso não conhecido ROBSON (eu xD), vai acessar o seu painel de controle diretamente pelo seu:

http://urldoforum.forumeiros.com/admin/

DEMO:

https://shift.forumactif.com/admin/

Admita, você tentou conectar...

Voltando... Com essa maneira, os troladores de página preta em fóruns cairão do cavalo pela segunda vez, depois de uma série de reclamações feitas aos técnicos por parte do apoio Português sobre isso. Agora, caso as páginas estejam fortemente bloqueadas pelo hacker, você tem essa pequena porta de entrada.
Essa é uma página estática e ninguém... NINGUÉM MESMO pode modificá-la, excerto os técnicos.

Se você não souber sua senha, dê uma olhadinha nos tópicos abaixo:
https://shift.forumactif.com/t660-
http://ajuda.forumeiros.com/t35565-
http://ajuda.forumeiros.com/t35484-

A maior dica de hoje após a sua leitura é: "Ninguém sabe o valor de algo que não é seu." Se você tem algo, só você sabe o quanto você teve que pagar para ter isso.

Até o próximo tópico .