26 мая 2008 в 11:43
Можно ли по HTML/JS/CSS-коду сайта опредилить какая версия Друпал установлена?
Как узнать версию Друпал
Главные вкладки
26 мая 2008 в 11:43
Комментарии
ну если загружается jquery_update то пятёрка...
ещё модно скачать какой нибудь из скриптов и посмотреть под что он - 5 или 6
Ну 5 от 6 - ки, можно попробовать определить по строке
6.х <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru" dir="ltr">
Но насколько это надежно ? ... скорее всего я не стал бы опираться на такое различие
а так если только специально не вывести ...
Можно попробовать распарсить jquery , версии в 5 и 6 они разные, но не кто не мешает в 5-ке обновить jquery
по drupal.js, от и до, ну еще можно css-ки исследовать.
5.0: // $Id: drupal.js,v 1.29 2006/10/14 02:39:48 unconed Exp $
5.1: // $Id: drupal.js,v 1.29 2006/10/14 02:39:48 unconed Exp $
....
5.6: // $Id: drupal.js,v 1.29.2.1 2007/07/15 23:07:06 drumm Exp $
5.7: // $Id: drupal.js,v 1.29.2.1 2007/07/15 23:07:06 drumm Exp $
...
6.2: // // $Id: drupal.js,v 1.41.2.2 2008/02/27 19:44:44 goba Exp $
Ок. Тогда следующий логичный вопрос как от этого защититься?
Есть ли ещё варианты?
А robots.txt в разных версиях одинаковый?
Robots кашерно править ручками после установки модулей
5.0 # $Id: robots.txt,v 1.7 2007/01/08 12:02:18 dries Exp $
5.7 # $Id: robots.txt,v 1.7.2.1 2007/03/23 18:57:07 drumm Exp $
6.2 # $Id: robots.txt,v 1.9 2007/06/27 22:37:44 goba Exp $
Я полагаю, что все $Id$ без зазрения совести быть вычищены, так что $Id$ не считается
хех, ну тогда только js-ки, css-ки сравнивать в целом, да поведение ядра и модулей. проще позвонить да спросить
Ещё можно по набору модулей определить, но это тоже не 100% гарантии.
Например, известно, что этот модуль был только для 5.7, а для 6.х его не адаптировали.
Но ведь могут и адаптировать. Чтобы этим методом пользоваться нужно быть в курсе всех этих модулей...
ну в общем такое знание в большинстве случаев нужно чтобы хакнуть сайт (зная какая версия и его дырки)
Именно так. Почти все хаки начинаются с выяснения версий софта, который установлен.
Меня интересуют эти слабые места, чтобы позакрывать их на своих сайтах.
Кому это нужно, я думаю, и так уже в курсе. Эта тема о безопасности.
Меня этот вопрос интересовал с самого начала!
Узнать всегда можно. Отличить v.5.8 от v.5.9 не так то просто, другое дело v.5.7 и v.5.9 - чем более рання версия, тем больше внутренних отличий и больше косвенных признаков по которым можно определить версию (или хотя бы примерно определить).
В любом случае маскировка - это бессмысленное занятие, обновляйте все вовремя и процентов на 75-95 от хака вы себя защитите.
самое забавное это пытаться скрыть косвенные признаки, забыв при это удалить CHANGELOG.txt из корня)
Скрыть версию Drupal.
Авторы, предложившие решения, также указаны в сохранённой статье.
осталось скрыть сам drupal, Ильяс тут както писал статью касательно этого...
Еще можно определить по update.php. Показывается разная картинка для 4, 5 и 6.
мажорный легко отличить, минорные главное.
/modules/system/system.info:
name = System
description = Handles general site configuration for administrators.
package = Core - required
version = VERSION
core = 6.x
; Information added by drupal.org packaging script on 2012-02-29
version = "6.25"
project = "drupal"
datestamp = "1330534547"
Чукча не читаль, чукча писатель.
$// $Id: jquery.js,v 1.12.2.3 2008/06/25 09:38:39 goba Exp $
/*
* jQuery 1.2.6 - New Wave Javascript
*
* Copyright (c) 2008 John Resig (jquery.com)
* Dual licensed under the MIT (MIT-LICENSE.txt)
* and GPL (GPL-LICENSE.txt) licenses.
*
* Date: 2008-05-24 14:22:17 -0400 (Sat, 24 May 2008)
* Rev: 5685
*/
- это шестерка или семерка? Пятеркой быть не может - ибо ubercart видно
#drush -d -v status
drupal version 7.52
default theme garland
drupal/root/dgd7/web
И другое. С уважением. Сегодня 20.11.2016.
wappalyzer
или файл CHANGELOG.txt в корне для 6 и 7х версий