Меню
Что нового?

Как вы скрываете Refere из Admin панелей

Kirs

Fireman
Как вы скрываете Refere из Admin панелей

Вопрос в том, как вы скрываете referer обращаясь из закрытой обрасти сайта к внешним ресурсам через браузер?
Я использую буферную страницу в виде JavaScript кода (типа out.html?http://phpclub.ru):
PHP: 
<script language="JavaScript" type="text/javascript">
request = String(document.location);
url = request.indexOf("?[url]http://[/url]");
if (url != -1) document.location = request.substring(url + 1);
</script>
Поделитесь своими технологиями (более изящным). А то, как я вижу по своим логам, данная тема актуальна... не раз ознакамливался с внутренней структурой панелей администрирования разных сайтов. К некоторым достаточно было обратится по оставленному обратному адресу, чтобы получить доступ к их управлению.
 

kruglov

Новичок
Лично я сессию в URL не таскаю, поэтому refereroв не боюсь.
 

Kirs

Fireman
kruglov ну а разве приятно раздавать на право и на лево ссылки на вход в админ-панель? Или сообщать посторонним о структуре файлов своей CMS системы?
 

sage

Новичок
К некоторым достаточно было обратится по оставленному обратному адресу, чтобы получить доступ к их управлению
Нажмите для раскрытия...
Скорее всего, в адресе содержался идентификатор сессии и не осуществлялась проверка по ip
 

Kirs

Fireman
sage да нет, в данном случае скрипт (вида примерно http://adm.domain.ru/mod/list.php), на который ссылался referer не проверял права пользователя... видать автор панели не догадывался, что посторонний может на него указать, минуя пункта идентификации. И таких примеров достаточно... не раз и здесь, на форуме, такие проникновения демонстрировались.
 

Кухан

Новичок
а какой в этом смысл, ведь панели ссылки только на свой сайт
P.S. если очень хочется то во многих браузерах рефер можно отключать, либо поставить какую-нибудь программу, которая вырезает его, например в OutPost такая функция есть
 
Фанат

Фанат

oncle terrible
Команда форума
ведь панели ссылки только на свой сайт
Нажмите для раскрытия...
всё тот же самый просмотр логов АКА статистики =)
ты в своей админке смотришь в логах, как кто-то в своей админске смотрел своилоги, как ты в своей админке...
=)
 

kruglov

Новичок
Kirs
Мне все равно, скажу больше, моя CMS лежит на своем рекламном сайте в read-only демо-доступе.

-~{}~ 07.01.06 14:36:

p.s. К отму же, у меня в CMS один файл - index.php. А остальное, через GET ему...
 
Войдите или зарегистрируйтесь для ответа.
Сверху