PDA

View Full Version : سوال: امنیت در استفاده از kcfinder



ravand
سه شنبه 26 خرداد 1394, 08:10 صبح
سلام
من از kcfinder برای آپلود فایل استفاده میکنم.
برای امنیتش باید چه کارهایی انجام بدم؟
در موردش جستجو کردم ولی جواب بدرد بخوری ندیدم.
متشکرم.

mhf693
سه شنبه 26 خرداد 1394, 08:32 صبح
.سلام
توی سایت خودش توضیحات کامل رو داده :
http://kcfinder.sunhater.com/secure

http://kcfinder.sunhater.com/integrate#session

به طور خلاصه اگه بخوام بگم باید آپلود رو به طور پیشفرض تو فایل کانفیگ غیرفعال کنی و توسط سشن برای کاربری که مجاز به اپلود هست فعال کنی.

ravand
سه شنبه 26 خرداد 1394, 15:59 عصر
این لینکی که دادید واضح نیست ادم ازش سر در نمیاره. یه چیز بهتر ندارید ادم سر در بیاره؟
ممنونم

ravand
چهارشنبه 03 تیر 1394, 12:08 عصر
با یکی از دوستان مشورت کردم بهم گفت توی فایل config اینو بذار:

'disabled' => true,
و توی فایل های دیگه مثل browse.php و upload.php هم این خط رو بذار اولشون:

session_start();
$_SESSION['KCFINDER']['disabled'] = false;

ولی با این حال من وقتی با یه مرورگر دیگه میام به این ادرس به راحتی وارد میشم:

http://localhost/cms/kcfinder/browse.php?opener=ckeditor&type=images&CKEditor=editor1&CKEditorFuncNum=1&langCode=fa
بازم وقتی از این روش استفاده میکنم بهتره. و به کاربر اجاره ی ورود نمیده:


<?php
session_start();
if(isset($_SESSION['login'])){
کدها
} else {
header("Location:login.php");
exit;
}
?>

نظرتون چیه از روش دوم استفاده کنم بهتره یا از روشی که دوستان گفتن؟

ravand
پنج شنبه 04 تیر 1394, 16:11 عصر
هکر از کدوم فایل این برنامه رو هک میکنه؟ upload.php یا browse.php ؟

famarini
شنبه 06 تیر 1394, 09:49 صبح
سلام دوست من
توی لینک زیر می تونی روش هک کردن رو ببینی :
https://www.youtube.com/watch?v=5p2onsyylHM

طبق گفته های سایت اصلی تغییراتی که باید روی سرور انجام بشه باعث امنیت می شه و اینکه روی سرورهای اشتراکی این امکان وجود نداره که تنظیمات آپاچی دسترسی داشت. تنها پیشنهادی که می تونم داشته باشم اینه که با پشتیبانی هاستینگت تماس بگیری و این مورد رو بگی شاید برای این مسئله روی سرورهای اشتراکی راه حله داشته باشن.
و در آخر خوشحال می شم اگر این مسئله به جایی رسید خبر بدید.
موفق و پیروز باشید