Archiwum - Mass Passwords Changer (MPC)
m1chu - 20-07-2006, 23:23 Temat postu: Mass Passwords Changer (MPC) Mass Passwords Changer (MPC) ver. 1.7 Final created by m1chu
Informacje:
Do napisania tej modyfikacji zachęcił mnie unster w tym topicu. Modyfikacja zmienia masowo hasła użytkowników danego forum i wysyła do nich maila. A dokładniej co w niej jest:
- możliwość konfiguracji nazwy forum, nazwy administratora, adresu e-mail forum (które to zostaną wysłane do użytkownika)
- możliwość wyboru uniwersalnej długości zmienianych haseł
- możliwość wyboru od którego użytkownika i do którego użytkownika zmieniać hasła (po id użytkowników). Jeśli opcje pozostaną puste, wszystkim użytkownikom zostaną zmienione hasła. Moim zdaniem ważna opcja dla dużych forów.
- teoretyczna możliwość zmiany znaków z których będą składać się hasła. Osobiście nie zalecam zmieniać funkcji ujętej w modyfikacji jeśli nie jesteś w stu procentach pewien co robisz.
- zabezpieczniem przed brakiem nazwy forum, nazwy admina, adresu e-mail, wartości zmienianych id, zmianą rekordu użytkownika Anonymous i funkcji mail na serwerze.
- wysyłanie maila do użytkowników z wiadomością:
Kod: | Witaj, ' . $nazwa_użytkownika . ' -
Wysylamy Ci tego maila, poniewaz nastapila masowa zmiana hasel na naszym forum.
Twoje nowe haslo to: "' . $nowe_hasło . '"
Za utrudnienia przepraszamy, administracja |
- wyświetlanie aktualnego działania na ekranie
Mod działa całkiem zgrabnie i po moich testach, wydaje mi się, że dobrze. Ale testujcie i jeśli będzie coś nie tak - piszcie. Nie testowałem na dużych bazach, dlatego może się wykrzaczać (ale po to jest opcja min_id i max_id, żeby zmieniać partiami). Jest jeszcze jeden warunek - funkcja mail musi być on na serwerze bo inaczej modyfikacja od razu zostanie wstrzymana, bo po co zmieniać hasło jeśli użytkownik i tak nie dowie się na jakie zostało zmienione.
Zmiany:
1.1:
- dodanie (pseudo) zabezpieczenia w postaci blokady modyfikacji (nadal zaleca się dla pewności wyrzucanie pliku modyfikacji z serwera po wykonaniu zmian!)
1.2:
- zmiana mail(), na smtp (dodanie klasy odpowiadającej za to)
- przerobienie skryptu na potrzebe smtp...
1.3:
- dodanie ponownie funkcji mail() i konfiguracji w pliku, czy modyfikacja ma korzystać z wbudowanego mail'a(), czy smtp'a()
- sprawdzanie, czy mail (nadawca) ma poprawną składnie
1.5 Final:
- przebudowanie modyfikacji, konfiguracja z poziomu przeglądarki[/b]
- sprawdzanie hostu i portu
- ładowanie nicku administratora z bazy
- dodanie opcji modyfikacji haseł danej grupie (na życzenie qbs'a)
- poprawienie zauważonych błędów
1.6 Final:
- zwalidowane przez validator.w3.org
- poprawienie błędów w kodzie
1.7 Final:
- usuwanie znaków \ (sql injection) w zmiennych i deklarowanie zmiennych całkowitych (sql injection)
- zmiana zabezpieczenia uruchamiania skryptu dla danych adresów ip (enabled -> adres_ip; disabled -> 127.0.0.1)
Demo:
http://vlo.gotdns.org/~dmx/temporary/mpc.php
Uwaga! Opcja mail'owania w demonstracyjnego wersji jest wyłączona. Z prostej przyczyny, nie działa na tamtym serwerze. A chciałem pokazać jak to wygląda...
Uwagi:
Po za tym po zakończeniu działania modyfikacji zalecam wyrzucenie pliku z serwera
Z pozdrowieniami, m1chu
PS: jest to wersja finalna, żadnych zmian nie będzie już, bo są niepotrzebne. Miał to być prosty modzik zmieniający masowo hasła - jak widać na życzenia, troszkę się zwiększył. Ewentualne zmiany - to poprawki zauważonych błędów (mod był testowany, ale zawsze coś nowego a nuż może się znaleźć). O zauważonych błędach proszę pisać tutaj.
PS2: zaleca się aktualizację do najnowszej wersji z kwestii bezpieczeństwa. Poprzednie wersje działają prawidłowo, ale nie stosowanie się do zalecenia usunięcia pliku po użyciu modyfikacji może być przyczyną usunięcia lub nadpisania bazy przez niepowołane osoby!
Tutaj znajduje się instrukcja instalacji modyfikacji
Hasło: m1chu.easyisp.pl/forum
pichus - 22-07-2006, 10:26
To archiwum jest chyba uszkodzone...
atomson - 22-07-2006, 10:32
jak nie chodzi jak chodzi !!
Jak rozpakować nie umiesz to już twoj problem. Sprawdzałem i wszystko chodzi. A hasło wpisałeś ?
pichus - 22-07-2006, 10:55
atomson napisał/a: | jak nie chodzi jak chodzi !!
Jak rozpakować nie umiesz to już twoj problem. Sprawdzałem i wszystko chodzi. A hasło wpisałeś ? |
Niestety nie korzystam z WinShita więc niemam programów typu WinRar. Ark nie chcę tego rozpakować, Archiwum jest uszkodzone czy coś takiego, ściągałem przez Opere jak i przez wget.
Jak nie masz nic sensownego do napisania to nie pisz, napisałem wcześniej że jest USZKODZONE.
vegetagt - 23-07-2006, 08:50
prosze Ciebie oto spakowany plik TARem: www.vegetagt.olpw.com/mpc_by_m1chu/mpc-michu.tar
pichus - 23-07-2006, 18:55
Tylko 3 pliki?
Wielkie dzięki
[ Dodano: 24-07-2006, 10:40 ]
No i mam problem
Uruchamiam mpc.php i pokazuje się:
"Użycie modyfikacji jest zablokowane przez administratora!"
m1chu - 24-07-2006, 19:38
pichus napisał/a: | No i mam problem
Uruchamiam mpc.php i pokazuje się:
"Użycie modyfikacji jest zablokowane przez administratora!" |
W wersji poniżej 1.5 zmień:
Kod: | //Włącz (wpisz 'enabled')/wyłącz (wpisz 'disabled') modyfikacje
$security = 'disabled'; |
na:
Kod: | //Włącz (wpisz 'enabled')/wyłącz (wpisz 'disabled') modyfikacje
$security = 'enabled'; |
Btw, skończyłem właśnie finalną wersję 1.5. Zmiany opisane w pierwszym poście. Większych zmian nie będzie. Korygował będę tylko i wyłącznie zauważone przez Was błędy.
rahim - 29-07-2006, 13:12
Niestety coś nie działa U mnie wyskakuje błąd 404 przy wysyłaniu, bo nie ma pliku mpc_ng.php.
atomson - 29-07-2006, 14:03
to go wgraj z paczki ?
rahim - 29-07-2006, 14:05
Nie mam go w paczce. Mam samo mpc.php i instalacja.txt.
Fuzzy - 03-08-2006, 21:48
ma ktos moze jednak ten zaginiony plik? potrzebny mi ten mod - jesli ktos ma prosze przeslac mi go na maila: tommy_knz@interia.pl
z gory thx
AlienXT - 04-08-2006, 08:35
http://mody.lastinn.info/...rs,p__4613.html
stawiasz piwo i masz moda
Fuzzy - 04-08-2006, 10:47
no wlasnie mwoie ze z tej paczki brakuje jednego pliku
m1chu - 06-08-2006, 17:47
Sorry wszystkim... mój błąd. Tzn niedopatrzenie. W paczce już jest poprawna wersja. Wersja 1.6 na moim forum też jest poprawiona. Kto chce poprawić w ręcznie to w pliku mpc.php należy znaleźć:
Kod: | <form name="form_c" method="POST" action="mpc_ng.php"> |
i zamienić na:
Kod: | <form name="form_c" method="POST" action="mpc.php"> |
Jeszcze raz przepraszam za problem, w wypadku znalezionych innych błędów proszę pisać.
irekk - 06-08-2006, 19:14
NIE UZYWAC TEJ MODYFIKACJI!!! JEST CALKOWICIE NIEBEZPIECZNA
wasze bazy mozna ubic jednym sql injectem
|
|
|