• slider image 58
:::
阿佳 - XOOPS2 模組 | 2006-02-13 | 點閱數: 49477
此模組可以保護的攻擊類型如下:
- DoS
- Bad Crawlers (like bots collecting e-mails...)
- SQL Injection
- XSS (Just only a little kind of ...)
- System globals pollution
- Session hi-jacking
- Null-bytes
- Wrong file path specifications
- Some kind of CSRF (fatal in XOOPS <= 2.0.9.2)
- Brute Force Attack (暴力密碼破解防護)

= 使用方式 =
預設語言檔案為BIG5繁體中文,使用UTF-8者請事先將utf8_tw目錄內所有檔案複製到tchinese目錄內覆蓋。
新使用者請依照一般模組的安裝方式來安裝即可。(安裝完必須做下述mainfile.php編輯)
當您安裝完此模組後,編輯您的 mainfile.php 接近尾部的內容如下:
define('XOOPS_GROUP_ADMIN', '1');
define('XOOPS_GROUP_USERS', '2');
define('XOOPS_GROUP_ANONYMOUS', '3');

include( XOOPS_ROOT_PATH . '/modules/protector/include/precheck.inc.php' ) ;

if (!isset($xoopsOption['nocommon'])&& XOOPS_ROOT_PATH != ' ) {
	include XOOPS_ROOT_PATH."/include/common.php";
}
include( XOOPS_ROOT_PATH . '/modules/protector/include/postcheck.inc.php' ) ;

也就是在『 if (!isset($xoopsOption['nocommon'])) {』 的前後各插入一段防護偵測,如此可做到雙重防護。
請特別注意,上下兩行加入的紅字是不同的,最近時常看見有網友發問自己為何總是安裝失敗,大多數原因皆是不仔細詳看這段內容導致!
至於『&& XOOPS_ROOT_PATH !=』部份,因版本之不同而異,若是和您的設定不同不用介意。
假如您需要『擋IP』(IP Ban) 的功能,開啟系統管理介面的『系統 -> 偏好設定 -> 一般設定 ->啟用擋 IP 功能』。
當您啟動『擋IP』的時候,您必須檢查是否您自己的 IP 有包含在『輸入要擋掉的 IP 網址』中。
請務必設置救援密碼,以免管理者IP被不知名原因記錄到禁止IP列而無法進入網站。

= 升級方式 =
由舊版本升級者,請將所有檔案覆蓋後到模組管理區內執行更新模組。
但因版本或是上傳軟體、方式之不同,有可能造成檔案上傳覆蓋後無法進入管理區的問題發生,如果發生這樣問題時請暫時先將上述的mainfile.php修改部份暫時還原或註解,進入管理區更新完模組之後記得恢復mainfile.php內的設定。


==更新資訊==
2.55 (2006/2/11)
- 不可以上傳多數.存在的檔案的Apache對策改為只允許.tar.gz的格式。
- 修改mymenu在XOOPS Cube2.1的互換性問題。
- 西班牙語檔案更新 (thx bezoops) --原作者網站下載

2.53 (2005/11/30)
- 新增偽裝檔案上傳造成IE的XSS安全問題之對策CODE
- 資料庫如果呈現busy時會有Path Disclosure的問題改善
- 修正Notice產生的幾項錯誤
- 改善管理畫面與XOOPS2.2.3不相容造成錯誤的互換性問題
- 將部分文件移至docs目錄 (避免遭到經由這些檔案而偵測到版本資訊)
- 升級管理頁面的 mymenu 版本為 0.15a
- 降低某些PHP_SELF/PATH_INFO XSS的強制終止對策
- 更改模組ICON (thx Argon)
- 波蘭語檔案更新 (thx Tomasz)
- 法語檔案更新 (thx marco)
- 義大利語檔案更新 (thx Defkon1)

2.52 (2005/8/27)
- WordPress等模組的xmlrpc.php功能無效化
- xmlrpc 攻擊不重複於LOG
- 俄語文檔更新 (thx Sergey)

2.51 (2005/8/24)
- Session攔截對策,可以設定IP變動所涵蓋的範圍
- session.use_trans_sid 加寫注意事項
- 改善 PHP_SELF XSS 的語法
- 法文檔案更新 (thx HEMON)

2.50 正式版 (2005/8/22)
- 新增 PHP_SELF XSS 對策
- 巴西葡萄牙語‧西班牙語檔案更新 (thx Yuji)

2.50 beta2 (2005/7/31)
- "2.0.9.2漏洞修補的yes及no選項改成可以選擇式"無効化"功能
- 修改log管理可以設定每頁顯示篇數
- 繁體中文檔案更新 (thx Kikuchi)
- 巴西葡萄牙語‧西班牙語檔案更新 (thx Yuji)

2.5 Beta 01 (2005/7/22)
- 新增排除模組的DoS/Crawler防護,以避免聊天模組等被誤偵測。
- 修正部份忘記加入index在資料夾內。
- 新增可信任IP欄,登記的IP不做DoS攻擊的監視。
- 新增暴力破解密碼的對策 (Brute Force Attack)。

2.40 正式版 (2005/7/21)
- 新增 criteria attack 的對策 (適用於xoops <= 2.0.10*用)
- 義大利語言檔案更新 (thx Defkon1)
- 芬蘭語言檔案更新 (thx kokko)
- 波蘭語言檔案更新 (thx Tomasz)

2.40RC2 (2005/4/4)
- 模組更新時連帶一起刪除區塊 (thx Dava_L)
- 巴西葡萄牙語言檔語・西班牙語言檔更新 (thx Yuji)

2.40RC (2005/3/31)
- modified URI of attacking simulation in advisory (thx satanas)
- modified checking *check.inc.php included in advisory (thx peter & Dave_L)
- modified password for disabling bad_ips to be encrypted
- eliminate protector block
- modified only GET vars will be checked with "doubtful file spec"

2.38 (2005/3/18)
- modified system of rollbacking .htaccess in DoS or CRAWLER
- updated Italian language files (thx Defkon1)

3/ 9 V2.37
  - prefix manager 裡資料庫名quoting忘記修正 (thx king76)
  - modified log level of Null-byte to 64
3/ 9 V2.36
  - 修正部分移漏的副檔名
3/ 5 V2.35
  - 升級myblocksadmin 0.27 & mymenu 0.12
  - 新增模組動作中斷功能 (Dave_L)
  - 新增記錄檔案等級為可選的方式。
  - 繁體中文檔案升級更新。(Kikuchi)
2/18 V2.34
  - 修正session被劫取對策在訪客部份處理的錯誤 (blues)
  - 修正特定強制終止時的內容 (suin)
  - 在DoS防護的htaccess 裡 DENY FROM 的寫入功能(尚在實驗階段)
2/11 V2.33
 - 修正啟用「可疑檔案指定的禁止」會出現無限制的『 . 』 (mayor)
 - 將使用XoopsGTicket時的IP檢測停用
2/ 1 V2.32
 - 修正"MySQL/Blocks debug"無效化改為先確認 (jseymour)
1/30 V2.31
 - fixed recognization of root controllers (nobunobu)
 - modified compatibility with IIS (okuhiki)
1/21 V2.3 RC4
 - 改善誤偵測為攻擊行為
 - 新增各種攻擊預設對策
 - 特別加入xoops2.0.9.2現有CSRF尚未改善之漏洞
 - 新增更改資料表前置功能
 - 新增防止劫取Session的對策
 - 其他細項bug調整
12/25更新資訊
 - 新增救援密碼的設定。
 - 新增可以檔案自動辨識與禁止的選項
 - HTTP_*_VARS的廢止(PHP5)
 - 分開搜索引擎以及F5鍵(重新整理)之惡意攻擊
 - 記錄檔案樣式變更
 - 其他細微修正

:::

即時留言簿


計數器

今天: 110110110
昨天: 151151151
總計: 4094941409494140949414094941409494140949414094941