• TibiaFace

    Tibiaface | Una comunidad Open Tibia donde encontras : mapas, scripts, Otserver, npc y amigos etc ...

    .
    demo menumenu

    Afiliados



    Votar:

    Protect Gessior y Xampp.

    Compartir:

    Ver el tema anterior Ver el tema siguiente Ir abajo  Mensaje (Página 1 de 1.)

    1default Protect Gessior y Xampp. el Lun Ene 06, 2020 12:00 pm

    Camilooh

    Camilooh
    Miembro
    Miembro
    Todos saben que Gesior es una porquería en términos de seguridad y XAMPP también tiene sus defectos, pero muchos todavía usan Gesior y XAMP por varias razones, incluso por afinidad. Hoy vine aquí para darte algunos consejos valiosos para que puedas hacer que tu querido Gesior y tu XAMPP sean un poco más seguros. 

    1 -  Si usa XAMPP, siga los pasos a continuación para hacerlo más seguro:

    ◾Cree una contraseña relativamente buena y segura para su xampp / phpMyAdmin.
    ◾Eliminar completamente la carpeta webdav.
    ◾Vaya a su phpMyAdmin>  Privilegios  y elimine el usuario de pma .

    Vaya a la carpeta phpMyadmin / config.inc.php y busque la siguiente etiqueta:

    Código:
    $cfg['blowfish_secret'] = 'xampp';

    Y cambie la palabra champú a algo completamente sin sentido, por ejemplo:
    Código:
    $cfg['blowfish_secret'] = 'hsdewu1721has1au';

    Todavía en  config.inc.php  y busque la siguiente etiqueta:
    Código:
    $cfg['Servers'][$i]['auth_type'] = 'config';

    Y cámbielo a:
    Código:
    $cfg['Servers'][$i]['auth_type'] = 'cookie';

    Ahora vaya a php / php.ini y busque la siguiente etiqueta:
    Código:
    Safe_mode = Off

    Actívelo dejando:
    Código:
    Safe_mode = On

    ¡Bien, tu XAMPP es mucho más seguro! 


    2 - Bueno, ahora vamos a Gesior, ve al archivo config / config.php y realiza las ediciones en las siguientes etiquetas:
    Código:
    $config['site']['access_news'] = 6; // access level needed to edit news
    $config['site']['access_tickers'] = 6; // access level needed to edit tickers
    $config['site']['access_admin_panel'] = 6; // access level needed to open admin panel
    Cámbielos a 6 para que no tengamos problemas con las intrusiones del sistema, pero recuerde poner page_acess 6 en su cuenta phpMyAdmin para administrar su sitio.


    3 - Vaya a layouts / sua-skin / layout.php y busque la etiqueta <body y reemplácela por esta:
    Código:
    <body onBeforeUnLoad="SaveMenu();" onUnload="SaveMenu();" oncontextmenu="return false" onselectstart="return false" ondragstart="return false">

    Ahora, justo debajo de la etiqueta <body>, agregará el siguiente código:
    Código:
    <?php
    {
    $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
    $sql = trim($sql);
    $sql = strip_tags($sql);
    $sql = addslashes($sql);
    return $sql;
    }
     
    function protect($str)
    {
    if( !is_array($str) ) {
    $str = preg_replace("/(from|select|insert|delete|where|drop table|show tables)/i","",$str);
    $str = preg_replace('~&amp;#x([0-9a-f]+);~ei', 'chr(hexdec("\\1"))',$str);
    $str = preg_replace('~&amp;#([0-9]+);~e', 'chr("\\1")',$str);
    $str = str_replace("<script","",$str);
    $str = str_replace("script>","",$str);
    $str = str_replace("<Script","",$str);
    $str = str_replace("Script>","",$str);
    $str = trim($str);
    $tbl = get_html_translation_table(HTML_ENTITIES);
    $tbl = array_flip($tbl);
    $str = addslashes($str);
    $str = strip_tags($str);
    return strtr($str,$tbl);
    }
    else return $str;
    }
     
    $nome = anti_injection($_POST["nome"]);
    $senha = anti_injection($_POST["senha"]);
     
    $link = htmlspecialchars($_POST['link'], ENT_QUOTES);
    echo $link;
     
    header("Content-Type: text/html;  charset=ISO-8859-1",true)?>


    Todavía en layout.php, justo debajo de la etiqueta <head>, agregará el siguiente código:
    Código:
    <script type="text/javascript">
    function click() {
    if (event.button==2||event.button==3) {
    oncontextmenu='return false';
    }
    }
    document.onmousedown=click
    document.oncontextmenu = new Function("return false;")
    </script>
    Estos códigos lo ayudarán a predecir contra la inyección SQL, pero afirmo que esto no es 100% seguro. 

    4 - Vaya al archivo guilds.php y localice la siguiente etiqueta:
    Código:
    $guild_logo = $guild->getCustomField('logo_gfx_name'); if(empty($guild_logo) || !file_exists("guilds/".$guild_logo)) $guild_logo = "default_logo.gif";

    Ahora reemplácelo con esto:
    Código:
    foreach (array("/", "\\", "..") as $char) {
        $guild_logo = str_replace($char, "", $guild->getCustomField('logo_gfx_name'));
    }
    if (empty($guild_logo) || !file_exists("guilds/".$guild_logo)) {
        $guild_logo = "default_logo.gif";
    }  

    Bien, tu guilds.php está a salvo ahora.

    5 - Elimine el archivo houses.php por completo , es un archivo muy inutilizable y aún muy vulnerable, las personas malintencionadas pueden ver su config.lua a través de él, así que simplemente elimínelo.

    Bien, eso es todo por ahora, si tiene más consejos para hacer que Gesior y XAMPP sean más seguros, publique sobre este tema que seguramente ayudará a muchas personas necesitadas

    2default Re: Protect Gessior y Xampp. el Jue Ene 09, 2020 9:21 pm

    opositorap

    opositorap
    Nuevo Miembro
    Nuevo Miembro
    Muy buen aporte...aunque deberias especificar para que versiones de xampp y gesior serian compatibles , ya que hay algunas que ya traen estas modificaciones por lo menos en gesior ... saludos !

    Ver el tema anterior Ver el tema siguiente Volver arriba  Mensaje (Página 1 de 1.)

    Permisos de este foro:
    No puedes responder a temas en este foro.

     

    BienvenidosTibiaFace es una comunidad de Open Tibia. Para participar debes estar registrado (click para Regístrate).