سئو برای زندگی

joomla security

مدتی پیش یک طراح تراز بالای ما که در حال کار برای یکی از مشتریهای مهم ما بود، به ما خبر داد در حالی که سعی میکرده فایل HTML را در مدیا منیجر آپلود کند، به خطای زیر برخورده است: Possible IE XSS Attack found

بدون این که زیاد به آن فکر کنیم، به او گفتیم اقدامات زیر را انجام دهد: - وارد بک اند وب سایت جوملا شوید
- بر روی Content -> Media Manager کلیک کنید
- بر روی آپشن (Options ) در بالای صفحه سمت راست، کلیک کنید
- بعد از Legal Extensions (انواع فایل)، html را به عنوان نوع Legal اضافه کنید. تصور میکردیم که مشکل در این واقعیت نهفته بود که به فایلهای با اکستنشن .html به صورت پیش فرض (دیفالت) در جوملا اجازه داده نشده و باید در تنظیمات (ستینگ) مدیا منیجر، آن را صریحا اضافه کنیم. در حالی که این امر حقیقت داشت اما مشکل را حل نکرد. چند دقیقه بعد، طراح ما به ما خبر داد که پیش از این، چنین کاری را انجام داده است بنابراین ما مشکل را بیشتر بررسی کردیم و چیز جدیدی کشف کردیم، چیزی که پیش از این نمیدانستیم. جوملا به دلایل امنیتی، به هیچ فایلی که محتوای تگ HTML دارد اجازه آپلود نمیدهد و این در فایل media.php که در زیر libraries/cms/helper قرار گرفته است، اجرا شده است. در صورتی که این فایل را بخوانید (از خط 190 شروع میشود)، متوجه میشوید که جوملا فایل آپلود شده را برای تگهای html شناخته شده، اسکن میکند و در صورتی که هر گونه تگی دیده شد، فورا خطا میدهد. چیزی که این قانون امنیتی جوملا را حتی تهاجمی تر میکند این است که این قانون اهمیتی به نوع فایل نمیدهد: حتی اگر فایلی myimage.jpg نام داشته باشد، تگ HTML آن بررسی میشود. اکنون، از زمانی که کاربرانی که از بک اند استفاده میکنند، قابل اعتماد هستند، ما میتوانیم این قانون امنیتی را برای بک اند غیر فعال کنیم. برای این کار مراحل زیر را انجام دادیم: - فایل media.php که در زیر فولدر libraries/cms/helper قرار گرفته است با استفاده از FTP را باز کردیم
- خط زیر را جستجو کردیم:
$xss_check = file_get_contents($file['tmp_name'], false, null, -1, 256);
درست در بالای آن، خط زیر را اضافه کردیم:
$app = JFactory::getApplication();
if ($app->isAdmin())
return true;

- کار انجام شد! با انجام اقدامات بالا برای آپلود فایلهای با محتوای html، در وب سایت مشکل حل شد.

اما خطای IE XSS چیست؟

وقتی در نظر میگیرید که طراح حتی از IE استفاده نکرده است (و البته حمله های XSS را در مقابل وب سایتش تجربه نکرده است)، این خطا واقعا نامعقول به نظر میرسد. ما تردید داریم که این قانون امنیتی به علت یک سوء استفاده که مختص اینترنت اکسپلورر و بنابراین نام آن است، اضافه شده باشد (بهرحال این قانون امنیتی در نسخه های قدیمی تر از 3.2.0 جوملا وجود نداشت). در صورتی که برای آپلود یک فایل HTML در وب سایت جوملای خود با استفاده از مدیا منیجر، به همین مشکل بر میخورید، راه حل ما را امتحان کنید. در صورتی که مشکلی در این زمینه داشتید، یا تردید دارید از این راه استفاده کنید یا خیر با ما تماس بگیرید، متخصصان حرفه ای ما به شما کمک خواهند کرد.

نکته: راه حل ارائه شده در این مقاله نیاز به اصلاح جزئی در یک فایل هسته ای دارد. جانب احتیاط را رعایت کنید و به خاطر داشته باشید هر تغییری که ایجاد میکنید ممکن است هنگام به روز رسانی وب سایت جوملایتان، از بین برود.

5 1 1 1 1 1 1 1 1 1 1 Rating 100% (1 Vote)
sd-logos-part1
sd-logos-part2

منتخب از مشتریان با ارزش ما

مشتریان ما سرمایه ما
themeforest-logo
codecanyon--logo
graphicriver-logo
audiojungle-logo
photodune-logo
activeden--logo