vt.Lai VBB Anti CSRF 1.2 - Chống tấn công CSRF vào AdminCP vBulletin

[Admin]

Cách khai thác các bạn có thể xem video dưới:

Cách đơn giản nhất là đổi tên thư mục AdminCP. Tuy nhiên, khi đổi tên admincp sẽ có 1 số mod không hoạt động hoặc bị lỗi. Trường hợp khác là nếu forum bạn có nhiều admin cấp dưới thì cho dù bạn đổi tên thư mục admin thì bạn cũng phải cho họ biết tên thư mục admin nên có đổi cũng bằng thừa.


Chức năng:
Mod này sẽ chống cách tấn công được thực hiện như video trên.

Cách sử dụng:
Rất đơn giản.

AdminCP -> Plugins & Products -> Manage Products -> Add/Import Product và import file xml ở đính kèm là xong.


Cách hoạt động:
Kiểm tra Referer trong HTTP Header của mỗi request gửi đến admincp, nếu từ các trang ngoài của forum mà ko phải từ admincp thì hiện trang xác nhận


Change log:
+ v1.2: Fix lỗi khi tên thư mục AdminCP có 1 số ký tự đặc biệt
+ v1.1: Fix lỗi lặp lại + thêm 1 số Options

Mod này sử dụng được cho mọi phiên bản vBulletin (vBB 3, vBB 4)


Demo:

Lưu ý: Nếu bạn nào cài version trước bị không vào đc admincp thì làm như sau:
Mở file config.php
Thêm đoạn sau vào cuối file:

define('DISABLE_HOOKS',1);

Lúc này, bạn có thể vào admincp bình thường và import mod này đè lên.

Sau khi import, mở file config.php lên và xóa dòng ban nãy đi.
[down]Tải xuống tuoitreit.vn_product-vtlai_anti_csrf_1.2.xml (3.6 Kb)[/down]