ホーム > フォーラム > 質問箱 > XCL2.1.8 > protecterモジュールについて

protecterモジュールについて
投稿者: chokomiya | 投稿日時: 2011/4/25 14:50 | 閲覧: 4868回
chokomiya

protecterモジュールをインストールしたのですが、下記の状況になっており、どこを修正するべきなのか、わからなくなっています。
バージョン r_2_1_08a
protecter protector-3.5
サーバー   Xサーバー
1.モジュールはうまくインストールされています。
2.MAIN.PHPを下記のように修正しました。

if (!defined('_LEGACY_PREVENT_LOAD_CORE_') && XOOPS_ROOT_PATH != '') {
include XOOPS_TRUST_PATH.'/modules/protector/include/precheck.inc.php' ;
@include_once XOOPS_ROOT_PATH.'/include/cubecore_init.php';
if (!isset($xoopsOption['nocommon']) && !defined('_LEGACY_PREVENT_EXEC_COMMON_')) {
include XOOPS_ROOT_PATH.'/include/common.php';
}
include XOOPS_TRUST_PATH.'/modules/protector/include/postcheck.inc.php' ;

3.管理画面よりモジュールのセキュリティを確認したところ、下記のようになっていました。

'XOOPS_TRUST_PATH' :
TRUST_PATH内のPHPファイルに直アクセスできないことの確認(リンク先が404,403,500エラーなら正常)
上にNGという画像が表示されていたり、リンク先でエラーが出ないようならXOOPS_TRUST_PATHの設置方法に問題があります。XOOPS_TRUST_PATHはDocumentRoot外に設置するのが基本ですが、そうできない場合でもXOOPS_TRUST_PATH直下にDENY FROM ALLの一行を持つ.htaccessを追加するなどして、XOOPS_TRUST_PATH内に直接アクセスできないようにする必要があります。
'register_globals' : off ok
'allow_url_fopen' : on 非推奨
この設定だと、外部の任意のスクリプトを実行される危険性があります
この設定変更にはサーバの管理者権限が必要です
ご自身で管理しているサーバであれば、php.iniやhttpd.confを編集して下さい
そうでない場合は、サーバ管理者にお願いしてみて下さい
'session.use_trans_sid' : off ok
'XOOPS_DB_PREFIX' : bc5544 ok
PREFIXマネージャへ
'mainfile.php' : patched ok
'databasefactory.php' : データベースファクトリは対応済みですok

4.ところが、この状態から、ホームページを確認すると、

Protector detects site manipulation.

となります。

5.main.phpを下記のようにすると、

if (!defined('_LEGACY_PREVENT_LOAD_CORE_') && XOOPS_ROOT_PATH != '') {
include_once XOOPS_ROOT_PATH.'/include/cubecore_init.php';
if (!isset($xoopsOption['nocommon']) && !defined('_LEGACY_PREVENT_EXEC_COMMON_')) {
include XOOPS_ROOT_PATH.'/include/common.php';
}


6.管理画面のセキュリティは、

'mainfile.php' : missing precheck 非推奨
READMEに記述された通りに、mainfile.php にパッチを当てて下さい
'databasefactory.php' : データベースファクトリクラスへのパッチが当たっていないのでDBレイヤートラップanti-SQL-Injectionは効きません


7.ホームページはきちんと表示されます。

どこがいけないのか、調べているうちにわからなくなってしましました。

ご教示いただければ、ありがたい限りです。

宜しくお願いいたします。

コメント(2)

新しいものから | 古いものから | ネスト表示 | RSS feed
Re: protecterモジュールについて 
Re: protecterモジュールについて 
投稿者: domifara | 投稿日時: 2011/4/29 10:44
domifara
引用:
protecterモジュールをインストールしたのですが、下記の状況になっており、どこを修正するべきなのか、わからなくなっています。


引用:
4.ところが、この状態から、ホームページを確認すると、

Protector detects site manipulation.

となります。


protector ver3.50を利用している場合

Protector detects site manipulation
のメッセージは XOOPS_ROOT_PATH/index.php をアップデイトなので上書きすると
改ざんとみなされてチェックにひっかかります。

「protector ver3.50利用時のXOOPSアップデイトの注意点」
http://www.xugj.org/modules/d3forum/index.php?topic_id=1126#post_id6320

    投票(0)

    新しいものから | 古いものから | RSS feed
     
    To Top