Общение объединяет!

Войдите на форум при помощи

Чат на форуме

Помощь

Поиск

Пользователи

BanList

Здравствуйте Гость ( Вход · Регистрация · Правила форума )

Забыли пароль?

Общие вопросы безопасности

ExBB Community » Файловый ExBB » Решение проблем » Уязвимости

Страниц (6): « 1 2 [3] 4 5 6 »

Без описания

Поиск в теме | Версия для печати

yura3d	Отправлено: 10 января 2010 — 16:23
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	DreaMinder пишет: читал, и прабла в том, что гостям запрещено публиковать ответы и темы... а спамят именно гости... и обычно с разными ip в одной подсети... все попробовал кроме модов и "Разрешить пользователям задавать себе пароль? " - по личным причинам. Значит у Вас имеется сторонняя брешь в безопасности, позволяющая добавлять сообщения на форум в обход скриптов форума (поскольку запрет в админке на создание тем и сообщений для гостей работает правильно, эта функция уже неоднократно проверялось и подтверждена годом бесперебойной работы данной версии форума на этом и множестве других сайтов). Проверяйте правильность расстановки прав доступа на файлы и папки текстовой базы данных форума. Все права доступа должны быть расставлены строго в соответствии с инструкциями хостера, иначе в некоторых случаях расстановка слишком широких прав (0777, 0755 и т.д.) на некоторых хостингах может открыть доступ к файлам Вашего форума для других пользователей (клиентов) хостинга

ExBB FAQ ExBB 1.1 тестовая версия ExBB 2.0.*

DreaMinder	Отправлено: 10 января 2010 — 16:29
Newbie Покинул форум Сообщений всего: 38 Дата рег-ции: Янв. 2010 Репутация: 2	ну ладно... но хост не давал никаких инструкций... и поддержка на столько забита, что он мне точно не ответит... как я выводил права? расставил 666 на все, а потом судя по ошибкам на форуме выставлял 667 или 777 короче спасибо.. буду разбираться

altjo	Отправлено: 15 февраля 2010 — 16:29
ExBB Skins Creator Покинул форум Сообщений всего: 277 Дата рег-ции: Февр. 2009 Репутация: 86	это правда или ложь? Скрытый текст: Для просмотра Вам необходимо авторизоваться пассивные это ведь не страшно)

lisiycat	Отправлено: 15 февраля 2010 — 17:22
ExBB Team ExBB Ukrainian Translator Покинул форум Сообщений всего: 560 Дата рег-ции: Февр. 2009 Откуда: Чернигов Репутация: 56	altjo пишет: это правда или ложь? http_://forum.inattack.ru/index.p...?showtopic=23005 Ссылка не открывается Сори, все открылось. ЗЫ На всякий случай сделал принтскрин, если нужно будет прикреплю (Отредактировано автором: 15 февраля 2010 — 17:49)

yura3d	Отправлено: 15 февраля 2010 — 18:52
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	altjo lisiycat vipraskrutka Подтверждаю, проблема со скриптом редиректа rd.php есть, но чтобы ей воспользоваться нужно сочетание как минимум 2-х событий. Вредоносную ссылку c XSS (подобную приведённой altjo по ссылке выше) нельзя опубликовать на форуме или переслать в ЛС, эту ссылку и подобные ей можно отправить разве что по e-mail, ICQ и т.п. Если жертва кликнет подобную ссылку (при условии что она использует IE6), злоумышленник может украсть cookies жертвы, иными словами проделать то, что называется XSS. Чтобы закрыть эту брешь, в самом начале скрипта rd.php разместите фильтрующий фрагмент, который будет осуществлять проверку правильности адреса перед осуществлением редиректа: CODE: <?php if (!preg_match('#^(http\|https\|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is', $_SERVER['QUERY_STRING'])) die; ?> Данное исправление является *критическим*, однако тем, у кого мод перехода по внешним ссылкам через редирект не установлен, оно не нужно.

yura3d	Отправлено: 15 февраля 2010 — 19:20
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	vipraskrutka пишет: yura3d интересно о каких дырках в post запросах они еще имели в виду... А ни о каких, из этой фразы всё становится ясно: Цитата: Какая кодировка может обойти htmlspecialchars() ? Вопрос вообще поставлен некорректно. Все входные данные POST экранируются, поэтому в данном случае они пытаются найти кодировку, где экранирование не будет работать (а оно не будет работать в кодировке, где управляющие символы представлены другими значениями их кодов в памяти). Однако это бесмысленно, поскольку браузер оперериует непосредственно ASCII-кодами управляющих символов (хотя в отношении того же IE6 всякое может быть), постольку они будут бесконечно искать свою кодировку и декодеры к ней: Цитата: Если ответите и дадите ссылу на декодер Для тех, кто очень сильно боится, предлагаю настроить Apache для принудительной перекодировки всех входящих на форум запросов и отдаваемых страниц форума в windows-1251, тогда смысла в подмене кодировки нет

altjo	Отправлено: 20 февраля 2010 — 13:50
ExBB Skins Creator Покинул форум Сообщений всего: 277 Дата рег-ции: Февр. 2009 Репутация: 86	и есть одна мелочь... Скрытый текст: Для просмотра Вам необходимо авторизоваться и оставить не менее 20 сообщений (Отредактировано автором: 23 февраля 2010 — 16:14)

yura3d	Отправлено: 21 февраля 2010 — 21:08
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	altjo Ничего страшного в данном случае нет, просто в скрипте отсутствовала проверка на наличие элемента, соответствующего запрашиваемому файлу, в массиве прикреплённых файлов. Учитывая что все входящие данные от пользователя экранируются, никакой угрозы безопасности этот недочёт в себе не несёт. Для исправления открываем файл printfile.php, находим строку: CODE: if (!file_exists('uploads/'.$attaches[$attach_id]['id'])) { и заменяем её строкой: CODE: if (!isset($attaches[$attach_id]['id']) \|\| !file_exists('uploads/'.$attaches[$attach_id]['id'])) { Вот и всё!

M-A-X	Отправлено: 24 февраля 2010 — 01:21
Advanced Member Покинул форум Сообщений всего: 278 Дата рег-ции: Июль 2009 Откуда: Киев Репутация: 10	В первом сообщении на данной странице в CODE: < if (!preg_match('#^(http\|https\|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is', CODE: a-zA-Z0-9 может лучше заменить на CODE: \w Просто меньше букв в регулярном выражении

yura3d	Отправлено: 27 февраля 2010 — 14:15
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	M-A-X пишет: может лучше заменить на Не лучше. Уже вышла обновлённая версия скрипта редиректа rd.php, где однозначно согласно документации PHP определён набор символов, не подлежащих URL-кодированию и через которые кодируются все остальные символы. Подробности здесь

ildar	Отправлено: 22 марта 2010 — 06:23
Junior Member Покинул форум Сообщений всего: 52 Дата рег-ции: Июль 2009 Репутация: 2	В последнии дни в логах ошибок хостинга стали появляться такие строки: CODE: [Mon Mar 22 08:35:47 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/ [Mon Mar 22 08:36:06 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/ Посмотрел логи доступа, с этого ip пытались зайти по этому адресу: Скрытый текст: Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений Решил посмотреть в Гугле, почему такой странный запрос и узнал, что это была попытка взлома через уязвимость скриптов ExBB Скрытый текст: Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений Вопрос, эти уязвимости закрыты?

yura3d	Отправлено: 22 марта 2010 — 06:55
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	ildar Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны

ildar	Отправлено: 22 марта 2010 — 07:03
Junior Member Покинул форум Сообщений всего: 52 Дата рег-ции: Июль 2009 Репутация: 2	yura3d пишет: ildar Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны Спасибо, теперь я спокоен P.S. Самое интересное, что в бюллетене безопасности говорится о версии 1.9.1, скачал из архива эту версию, посмотрел, а там вообще нет ни папки /modules, ни тех файлов, которые перечислены в бюллетене. (Отредактировано автором: 22 марта 2010 — 10:46)

Светлана	Отправлено: 11 августа 2010 — 16:28
Забанен Покинул форум Сообщений всего: 240 Дата рег-ции: Июнь 2009 Репутация: 8 [+]	Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0. Что за нечисть? CODE: <?die;?>a:28:{s:2:"id";i:0;s:6:"status";s:2:"me";s:4:"name";s:13:"wetdiedoidogy";s:4:"pass";s:8: "KuFhMEAV";s:4:"mail";s:22:"megatron300@rambler.ru";s:5:"title";s:0:"";s:5:"posts" ;i:0;s:6:"joined";i:1281110445;s:2:"ip";s:14:"62.153.174.197";s:9:"showemail";b:0; s:3:"www";s:0:"";s:3:"icq";s:0:"";s:3:"aim";s:0:"";s:8:"location";s:0:"";s:9:"interest s";s:0:"";s:3:"sig";s:0:"";s:6:"sig_on";b:0;s:4:"lang";s:7:"russian";s:4:"skin";s:12:"I nvisionExBB";s:7:"timedif";i:0;s:6:"avatar";s:12:"noavatar.gif";s:6:"upload";b:1;s:7:" visible";b:0;s:6:"new_pm";b:0;s:9:"sendnewpm";b:0;s:10:"posts2page";i:15;s:11:"t opics2page";i:15;s:10:"last_visit";i:0;} Грешить ли на хостера? или? (Отредактировано автором: 11 августа 2010 — 16:29)

yura3d	Отправлено: 11 августа 2010 — 17:02
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	Светлана пишет: Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0. Что за нечисть? В подобных файлах форум хранит информцию о неподтверждённых (неактивированных) по e-mail регистрациях. Как только зарегистрировавшийся пользователь переходит по ссылке в письме с инструкцией по активации, ему присваивается номер (ID) и информация из временного файла перемещается в файл с этим номером. Если же в течение 24 часов с момента регистрации активация не будет произведена, временный файл будет удалён

Поиск в теме | Версия для печати

Страниц (6): « 1 2 [3] 4 5 6 »

Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)

« Уязвимости »

	Темы	Форум	Информация о теме	Обновление
Похожие темы: Общие вопросы безопасности
	VPS и с чем его едят? Все вопросы касательно VPS и с чем его едят.	Хостинг	Ответов: 4 Автор темы: ercopav	3 марта 2013 — 13:14 Автор: BON
	Индексация форума поисковыми системами вопросы улучшения	Раскрутка	Ответов: 61 Автор темы: mastersound	13 марта 2013 — 12:13 Автор: roma1
	Sape...вопросы	Раскрутка	Ответов: 4 Автор темы: Defenderyk	4 августа 2010 — 20:46 Автор: yura3d
	Встраиваем Google map...есть вопросы	PHP/Perl	Ответов: 1 Автор темы: Defenderyk	20 июля 2010 — 20:36 Автор: Defenderyk
	вопрос по безопасности и оптимизации	Обсуждаем	Ответов: 8 Автор темы: foozzi	19 февраля 2011 — 11:10 Автор: mastersound

Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.

[Script Execution time: 0.0729] [ ]