декабря 04 2016
0

Обход бана пользователем

BIT    4 декабря 2016, 17:44    в избранное в избранном    8 комментариев
Вопросы, проблемы и их решения   
Всем привет!
Сперва хочу поблагодарить разработчиков за за то , что они создали хороший инструмент для наших рук.Без сарказма, давно хотел, но случай вот такой представился.
Теперь о проблеме.
Пришлось забанить пользователя, бывает такое. Мысленно пожелав ему удачи, я со спокойной душой закрыл админку и отвлекся на другие вопросы.
Через полчаса заглянул на сайт и ... и вижу что пользователь на сайте, причем с того же аккаунта, который я банил, а не с множки.
Пришлось прибегать к помощи htaccess. Непонятно, как это получается, сам бан обойти не могу — пробовал, банил свою множку.
Вот, собственно, и вся печаль.

8 комментариев

0
История конечно занятная, но без подробностей — она такой и останется.
Каким образом банился пользователь? Он банился в админке или в блоге? Какие у него были права?
Удалилась ли при этом текущая авторизация? Кикнулся ли он при этом?
Содержимое таблицы user?
Логи веб-сервера, как он зашел повторно. Под тем же логином-паролем?
Возможно логи CMS — может там какая-то ошибка появилась, возможно это была SQl-инекция...
Конфигурация веб-сервера — кластеризация... Возможно не реплицировался бан и он зашел через другую ноду...
Кэширование?
0
Приветствую!
Спасибо, что откликнулись, работа затянула.
По пунктам:
>Каким образом банился пользователь? Он банился в админке или в блоге?< Банился стандарным путем через кнопку «Забанить» в админке.
>Какие у него были права?< Стандартные
>Удалилась ли при этом текущая авторизация? Кикнулся ли он при этом?< По индикатору он был оффлайн. Как на самом деле – неизвестно. Может и не кикнуло его на момент бана.
>Содержимое таблицы user?< Уже после того, как прописал в htaccess, удалил пользователя в ручную в админке
>Логи веб-сервера, как он зашел повторно. Под тем же логином-паролем?< затрудняюсь ответить, скорее всего да
>Возможно логи CMS — может там какая-то ошибка появилась, возможно это была SQl-инекция<
Посторонних ошибок не обнаружил
>Конфигурация веб-сервера — кластеризация... Возможно не реплицировался бан и он зашел через другую ноду< обычный сервер
>Кэширование?< стандартный механизм сессий
0
Как ни старался, не смог воспроизвести ошибку. В движке кеширование включено, нет?
0
да, галка стоит на стандартный механизм сессий
0
Нет, я не про механизм сессий, а про кеширование данных спрашивал
0
Видимо неправильно понял
Есть свежие данные: пока это единственный обход бана . Пользователя кикает, проверил.
Смотрел через Метрику — у него была долго открыта вкладка, но не было активности, свернуто было, наверное.
0
Так может и обхода бана то небыло? Была просто открытая вкладка, которая не обновлялась...Она показывала что он онлайн...на самом деле его онлайн давно уже небыло. И пока эту вкладку не обновил — на ней вечно бы был забаненный юзер «онлайн»...

Я ж непросто спросил про логи сервера...Они могли бы помочь установить — в действительности ли забаненный пользователь логинился на сервер после бана или нет...
Отредактирован:
0
по логам: найду — покажу
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.