小弟的網站設定了幾個不同角色
其中有個權限比較大的角色,可以修改各類數據
小弟原先的設定是,對公眾開放註冊的都是普通帳號,沒有那麼高的權限
但今天突然發現一個新增用戶自己提升爲那個比較高權限的角色,弄得我好怕怕
請問這裡難道有什麽後門,可以讓新增用戶自己設定角色,而不是網站管理員設定嗎?
還有,能不能我給那個高權限的角色設定不能新增用戶呢?
您在這裡
使用者登入
最新文章
回應
2 年 10 個月 之前
5 年 10 個月 之前
5 年 10 個月 之前
5 年 10 個月 之前
5 年 10 個月 之前
5 年 10 個月 之前
5 年 11 個月 之前
5 年 11 個月 之前
5 年 11 個月 之前
5 年 11 個月 之前
Re: 如何在對一個角色設定“禁止新增用戶”
如果你是 D6 / D7, 沒有自己寫模組, 應該不是 Drupal 後門問題
你看看權限頁面有沒有弄錯了
Re: 如何在對一個角色設定“禁止新增用戶”
多謝。
我再詳細講一下, 我的網站是別人開發,我自己不是太懂技術
網站本身有好幾級用戶,分普通用戶和各級管理用戶,不同用戶以角色來區分權限
普通用戶是開放註冊,我的註冊頁面也默認都是註冊普通用戶,它是權限最低的用戶
而網站在超級管理員(role id=1)、Authenticated user(role id=2)之下,建有四級管理帳戶,role id 從3排列至6,權限遞減。
這裡的設定是,管理帳戶不能開放註冊,只能由更高級別管理帳戶手工創建,各管理帳戶可對次級管理帳戶進行添加、刪除、降級、禁用等操作,對於自己也只能降低權限,決不可自己提升權限。
這兩天,連續有新增帳戶,權限達到管理帳戶最高級(role id=3),進入我的系統之後,將其他各管理帳戶禁用。
這應該是有意侵入,而我的註冊頁面是默認註冊為普通用戶,而進入 xxx.com/user/user/create建立帳戶,也只是Authenticated user(role id=2),但沒有管理權限
所以我猜應該網站開發時就留有後門,然侵入者有途徑建立高級別的帳戶進入我的後臺進行搗亂
小弟現在想請教的時,怎樣才能找到這個後門并修復呢?
多謝大大賜教
Re: 如何在對一個角色設定“禁止新增用戶”
你看看模組是否最新的, 再次確定權限有否錯配了 (各用戶建立一個實際地進去測試看看)
及試用這個模組做一個程式碼對比:
http://drupal.org/project/hacked/
都應該留有 IP 記錄, 你查查是從那路徑進入來的
(不明顯的錯誤很難說, 不放心還是要請專業人員看看 ^_^)