| electron |
Отправлено: 24 декабря 2010 — 10:50 
|
ExBB Team
Покинул форум
Сообщений всего: 3917
Дата рег-ции: Февр. 2009
Репутация: 341
|
yura3d пишет:altjo
На самом деле, все процедуры, обеспечивающие проверку данных на сервере, у ExBB есть (например, проверка длины сообщения или подписи осуществляется). Проблема в том, что для некоторых полей не заданы допустимые максимальные значения полей, поэтому ограничение по максимальной длине изначально не применяется для ICQ и других полей
В самое ближайшее время выложу исправление
(Добавление)
altjo
Заплатка и комментарии к ней доступны здесь
yura3d пишет:
откройте файл include/vars.class.php, найдите строку:
CODE: if (preg_match("#[^A-Za-z0-9_\-\.@]#is",$this->input[$key])) {
и замените её строкой:
CODE: if (strlen($this->input[$key]) > 100 || preg_match("#[^A-Za-z0-9_\-\.@]#is",$this->input[$key])) {
Далее в этом же файле нужно найти строку:
CODE: if (preg_match("#^(www\.|)([A-Za-z0-9-_]{1,40}\.){1,3}[A-Za-z]{2,4}(/[\.~A-Za-z0-9_-]{1,20}|)$#is",$this->input[$key])) {
и заменить её строкой:
CODE: if (strlen($this->input[$key]) <= 255 && preg_match("#^(www\.|)([A-Za-z0-9-_]{1,40}\.){1,3}[A-Za-z]{2,4}(/[\.~A-Za-z0-9_-]{1,20}|)$#is",$this->input[$key])) {
данных строк у себя не обнаружил. пользую дистрибутив pre-RС2 |
| |
|
| Alexandr |
Отправлено: 1 января 2013 — 22:51
|
Junior Member
Покинул форум
Сообщений всего: 51
Дата рег-ции: Дек. 2012
Откуда: Russia
Репутация: 1
|
Хотел бы поднять вопрос по поводу общей безопасности, профилактики, т.к. всем, в принципе известно, что проблему лучше предотвратить заранее, чем убирать потом её последствия...
Вопрос собственно к знающим людям:
есть на форуме папка uploads для загрузки всяких разных файлов от пользователей с форума. Как Вы считаете возможна ли загрузка шелла под видом безобидного файла, например картинки с другим расширением (также помимо uploads есть папка с аватарами пользовталей, куда также через профиль загружаются картинки) стоит ли в этих папках поместить файл .htaccess c таким содержимым: ?
CODE:<Files *.php>
Order Deny,Allow
Deny from All
</Files>
Или, например, так:
CODE:php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
По последнему коду ссылка на источник: http://habrahabr.ru/post/61842/
У меня в админке разрешены к загрузке аватары, картинки, jpg, gif, архивы zip, rar. Там же в админке права за закачиваемые файлы стоят 644, папки - 755.
Ещё такой вопрос - на форуме есть инструкции по установке в BB редактор кнопок видеосервисов, например, тот же ю-туб, тоже волнует вопрос насколько безопасна такая вставка и подгрузка со стороннего сервиса контента. По идее в поток можно вставить же всё что угодно.
Просветите, как вообще дела обстоят с безопасностью.
Какие ещё советы по общей безопасности можно применить, чтобы максимально обезопасить форум?
Поделитесь пожалуйста опытом.
P.S. Простите, если написал ерунду..
Информация по большей части для себя. |
| |
|
| Alexandr |
Отправлено: 6 января 2013 — 18:59
|
Junior Member
Покинул форум
Сообщений всего: 51
Дата рег-ции: Дек. 2012
Откуда: Russia
Репутация: 1
|
CAB пишет:О результате отпишитесь
Попробовал залить переименованный в картинку php файлик, не вышло, он был заархивирован и приаттачен к сообщению. Также пробовал залить "не совсем правильную" аватарку - тоже не вышло ничего )
P.S. Всё это простейший эксперимент, сделанный на любительском уровне..
За советы спасибо!
В папку с персональными аватарками htaccess всё же положил. На всякий случай. 
Ещё хотел бы поинтересоваться по поводу таких действий - каждый день в админке, в логе вижу такие записи:
Цитата:Гость :: Вход с неверными данными (promishlennieshlangi :: Abc12345) :: 124.135.29.234
03:48:56 :: Гость :: Вход с неверными данными (anastasihur :: luiza2012) :: 68.61.12.25
IP всегда разный. Записей минимум штук по 15-20 в день.
Я так понимаю что пытаются войти на форум, перебирая имена и пароли. Собственно вопрос: это в пределах нормы? Как у других? Или нужно бороться с этим и если да, то подскажите как?
Может для начала админку на всякий случай закрыть при помощи .htpasswd? Имеет смысл?(Отредактировано автором: 6 января 2013 — 19:03) |
| |
|
| electron |
Отправлено: 6 января 2013 — 19:04
|
ExBB Team
Покинул форум
Сообщений всего: 3917
Дата рег-ции: Февр. 2009
Репутация: 341
|
Alexandr пишет: хотел бы поинтересоваться по поводу таких действий - каждый день в админке, в логе вижу такие записи:
Цитата:Гость :: Вход с неверными данными (promishlennieshlangi :: Abc12345) :: 124.135.29.234
03:48:56 :: Гость :: Вход с неверными данными (anastasihur :: luiza2012) :: 68.61.12.25
IP всегда разный. Записей минимум штук по 15-20 в день.
Я так понимаю что пытаются войти на форум, перебирая имена и пароли. Собственно вопрос: это в пределах нормы? Как у других? Или нужно бороться с этим и если да, то подскажите как?
юзайте поиск, обсуждалось |
| |
|
|
Сайт проекта ExBB
Чат на форуме
Помощь
Поиск
BanList
Без описания
