| yura3d |
Отправлено: 20 августа 2011 — 07:29 • Тема: Cross Site Request Forgery • Форум: Уязвимости |
Ответов: 61
Просмотров: 0
 |
BON пишет:Так же предлагаю переделать страницу профиля как предложил перегарыч
Вы больше слушайте то, что пишет этот самый Перегарыч. А заодно попереходите по ссылкам, что он оставляет. Во-первых, на эти самые ссылки ругается Касперский (так что ещё неизвестно, что Вы там могли подцепить), во-вторых, там размещается скрипт, использующий эту самую уязвимость, и этот Перегарыч потом пытается получить доступ к Вашим профилям, судя по логам форума. Вот он пытается проверить, какие профили удалось взломать (разумеется, с теми, кто не переходил по его ссылкам, вышел облом):
Цитата:21:24:42 :: Гость :: Вход с неверными данными (roma1 :: 123qwezxcasd7) :: 217.118.92.116
21:24:07 :: Гость :: Вход с неверными данными (pauk :: 123qwezxcasd7) :: 217.118.92.116
21:23:35 :: Гость :: Вход с неверными данными (alexx1 :: 123qwezxcasd7) :: 217.118.92.116
21:20:41 :: Гость :: Вход с неверными данными (bon :: 123qwezxcasd7) :: 217.118.92.116
21:20:11 :: Гость :: Вход с неверными данными (pauk :: 123qwezxcasd7) :: 217.118.92.116
21:19:44 :: Гость :: Вход с неверными данными (alexx1 :: 123qwezxcasd7) :: 217.118.92.116
Но когда ничего не вышло, пришлось входить под своим логином:
Цитата:21:31:29 :: Перегарыч :: Выполнен вход :: 217.118.92.116
BON пишет:Юр, если заплатка стоит на этом форуме то это фигня а не заплатка, она не помогает.
До сегодняшнего дня у меня не было возможности установить заплатку на этом форуме, этим видимо и пользуется нечистый на руку Перегарыч. К слову, он же бывший (забаненный) Смайлик. Но сейчас у меня такая возможность есть, и заплатка будет установлена в течение ближайших минут
(Добавление)
Всё, заплатка на этом форуме установлена. А Вам, BON, если Вы переходили по ссылкам, оставленным Перегарычем, рекомендую проверить комп на вирусы.
BON пишет:Перегарыч, а чего ссылочку то убрали?
А там вирусы, чего ж тут непонятного. Зачем ему лишний раз светиться? Он наверное теперь может красть Ваши пароли и безо всякой уязвимости (если Вы переходили по его ссылкам), и не только от этого форума, но и от других сайтов, которыми Вы пользуетесь (помните историю недельной давности с кражей паролей в Facebook ?) Так что сканируйте теперь комп, желательно последним Каспером, т.к. последний NOD32, например, на его ссылки не ругается |
| yura3d |
Отправлено: 18 августа 2011 — 08:27 • Тема: Cross Site Request Forgery • Форум: Уязвимости |
Ответов: 61
Просмотров: 0
|
Перегарыч пишет:yura3d, была отправлена уязвимость. Уязвимость - Cross Site Request Forgery (Межсайтовая подделка запроса). Прошу не флудить в теме, админу отписать.
Благодарю за предоставленную информацию, сегодня же будет выпущена заплатка
(Добавление)
Собственно, она готова. Откройте файл profile.php, найдите строки:
CODE: if ($fm->_POST === FALSE) {
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['CorrectPost']);
}
и замените их строками:
CODE: if ($fm->_POST === FALSE || !isset($_SESSION['token']) || $_SESSION['token'] != $fm->_Intval('token')) {
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['CorrectPost']);
}
unset($_SESSION['token']);
Затем найдите строку:
CODE: $hidden = ($fm->exbb['avatars'] === TRUE && $fm->exbb['avatar_upload'] === TRUE) ? '<input type="hidden" name="MAX_FILE_SIZE" value="'.$fm->exbb['avatar_size'].'">':'';
и над ней разместите строку:
CODE: $_SESSION['token'] = $token = mt_rand(100000, 999999);
Наконец, откройте файл templates/ваш_скин/profile.tpl, найдите строку:
CODE: <input type=hidden name="action" value="savemodify">
и под ней разместите строку:
CODE: <input type="hidden" name="token" value="{$token}">
Последнюю правку необходимо повторить для всех установленных на форуме скинов (тем оформления) |
| yura3d |
Отправлено: 12 августа 2011 — 18:21 • Тема: Mодератор • Форум: Общие вопросы |
Ответов: 40
Просмотров: 0
|
electron
Их нет просто потому, что они не нужны в принципе. Людям нужны движки с высокими потребительскими качествами, и при этом не важно, на чем они написаны и каким образом в них организовано хранение данных. |
| yura3d |
Отправлено: 12 августа 2011 — 10:55 • Тема: Мод: Хранение статистики чтения тем на сервере • Форум: Модификации и дополнения |
Ответов: 283
Просмотров: 0
|
Pauk пишет:Вот такая у меня весчь сегодня вылезла и не дает зайти на форум:
База данных переполнилась. Вам необходимо либо уменьшить кол-во дней, в течение которых статистика хранится на сервере (см. админку, настройки мода), либо обратиться к хостеру с просьбой увеличить максимальный размер для баз данных SQLite. Последний вариант предпочтительней, особенно для больших форумов.
Pauk пишет:при отключении мода в админке выдает такую ошибку:
Вы ошиблись при внесении изменений в файл include/fm.class.php, ещё раз проверьте правильность правки этого файла.
Zeg пишет:Пока забил, объявится Юра - может поправит, нет, нужно иметь ввиду, что лучше подфорумы приватными не делать.
Исправление есть, доберусь до рабочего компа, выложу. Оно решает проблему с выводом ссылки на тему, находящуюся в приватном подфоруме. Соответственно, попутно решается и проблема с этим модом. |
| yura3d |
Отправлено: 12 августа 2011 — 10:38 • Тема: Mодератор • Форум: Общие вопросы |
Ответов: 40
Просмотров: 0
|
electron пишет:что же мешает сделать это сейчас? насколько я понимаю, проблема заброса (будем называть всё своими именами) проекта и отсутствие новых релизов в финансовой неокупаемости проекта
В принципе, всё верно сказано. Да и актуальность этого проекта сейчас под очень большим вопросом, в виду наличия хороших аналогов на рынке.
BON пишет:угу. И чую как бы мускульная версия не стала коммерческой....
На то, чтобы довести MySQL-версию до ума, нужны деньги. По моим весьма поверхностным подсчётам, около $2000-3000 USD. Эти деньги нужны для оплаты труда команды (меня и ещё нескольких активных участников) и труда фрилансеров (дизайнеров, а также разработчиков отдельных модулей и интеграций со сторонними движками, сетями и системами). Свои средства я вкладывать не буду, ибо и так уже столько сил и времени вложено в этот проект, что дальше некуда |
| yura3d |
Отправлено: 8 августа 2011 — 13:52 • Тема: Mодератор • Форум: Общие вопросы |
Ответов: 40
Просмотров: 0
|
igrok54
Речь пока не идет об основе (ядре) форума, речь идет о поддержке и персональных модах. Поддержка GNU GPL не регламентируется, а персональные моды не выходят под этой лицензией (за исключением тех, что были выложены впоследствии в паблик).
По поводу ограничений: если в этом будет необходимость, для коммерческой основы будет запущен новый стартап, никак не связанный с ExBB. |
| yura3d |
Отправлено: 8 августа 2011 — 12:14 • Тема: Общие ошибки и баги сюда • Форум: Решение проблем |
Ответов: 321
Просмотров: 0
|
Defenderyk пишет:Permission denied (13) in hosting/ulyanovskcity.ru/forum/include/page_header.php on line 28
Отправьте эту ошибку хостеру, они знают что делать |
| yura3d |
Отправлено: 8 августа 2011 — 07:56 • Тема: Mодератор • Форум: Общие вопросы |
Ответов: 40
Просмотров: 0
|
Меня так умиляют пользователи, вложившие в движок 10-20$, а то и вовсе ничего, и потом целомудрено рассуждающие о проблемах развития. Друзья, неужели за последние пару месяцев не стало ясно, что с таким подходом не будет никакого развития? поэтому всем любителям халявы заранее предлагаю уходить на phpBB или зануленные платные скрипты, из бесплатных файловых есть WR-Forum |
| yura3d |
Отправлено: 7 августа 2011 — 13:36 • Тема: Раздел форума без редиректа (как это осуществить) • Форум: Общие вопросы |
Ответов: 5
Просмотров: 0
|
Можно сделать как персональное дополнение, пишите в ЛС. Заодно уточните, требуется отмена редиректа только в текстах сообщений, или в профильных блоках тоже (кнопки WWW, ICQ и т.п.) ?Можно сделать как персональное дополнение, пишите в ЛС. Заодно уточните, требуется отмена редиректа только в текстах сообщений, или в профильных блоках тоже (кнопки WWW, ICQ и т.п.) ? |
| yura3d |
Отправлено: 28 июля 2011 — 14:05 • Тема: Мод: Возврат к исходной странице после регистрации/авторизации/выхода • Форум: Модификации и дополнения |
Ответов: 40
Просмотров: 0
|
Светлана пишет:А что касаемо "выход"а? Такая же печаль? Вроде бы параметры юзера уже не передаются...
После разлогинивания пользователя информация из сессии полностью не удаляется (удаляются только данные, непосредственно относящиеся к авторизации). Сама же сессию привязана к браузеру пользователя, а не к учетной записи на форуме. Например, сейчас при выходе работает такая логика: при открытии темы в сессию записывается ее адрес, и если при выходе оказывается, что адрес в сессии не пуст, происходит редирект на него. |
| yura3d |
Отправлено: 27 июля 2011 — 19:31 • Тема: Мод: Возврат к исходной странице после регистрации/авторизации/выхода • Форум: Модификации и дополнения |
Ответов: 40
Просмотров: 0
|
Светлана пишет:Насколько безопасно использовать $_SERVER["HTTP_REFERER"] ? Кто, что знает? Информация в инете, как всегда, противоречива...
Если безопасно, то могу опубликовать вариант возврата к исходной странице намного более простой и действующий для всех, без исключения, страниц форума (сайта).
Попробовать можно на тестовом http://enthusiast.hclubfx.com/index.php?lang=ru
Небезопасно без дополнительного фильтра. Необходимо реализовать проверку на соответствие реферера домену форума, а также вырезать из реферера левые символы (javascript и т.п.), которые могут использоваться для XSS. Ну и необходимо помнить, что отправка реферера может быть отключена в браузере пользователей, и в этом случае вариант работать не будет |
|
Сайт проекта ExBB
Чат на форуме
Помощь
Поиск
BanList
Найдено сообщений: 2986