ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (6): « 1 2 3 4 [5] 6 »   

> Без описания
electron
Отправлено: 24 декабря 2010 — 10:50
Post Id



Администратор
ExBB Team


Покинул форум
Сообщений всего: 3917
Дата рег-ции: Февр. 2009  
Репутация: 341




yura3d пишет:
altjo
На самом деле, все процедуры, обеспечивающие проверку данных на сервере, у ExBB есть (например, проверка длины сообщения или подписи осуществляется). Проблема в том, что для некоторых полей не заданы допустимые максимальные значения полей, поэтому ограничение по максимальной длине изначально не применяется для ICQ и других полей

В самое ближайшее время выложу исправление
(Добавление)
altjo
Заплатка и комментарии к ней доступны здесь


yura3d пишет:

откройте файл include/vars.class.php, найдите строку:
CODE:
if (preg_match("#[^A-Za-z0-9_\-\.@]#is",$this->input[$key])) {

и замените её строкой:
CODE:
if (strlen($this->input[$key]) > 100 || preg_match("#[^A-Za-z0-9_\-\.@]#is",$this->input[$key])) {

Далее в этом же файле нужно найти строку:
CODE:
if (preg_match("#^(www\.|)([A-Za-z0-9-_]{1,40}\.){1,3}[A-Za-z]{2,4}(/[\.~A-Za-z0-9_-]{1,20}|)$#is",$this->input[$key])) {

и заменить её строкой:
CODE:
if (strlen($this->input[$key]) <= 255 && preg_match("#^(www\.|)([A-Za-z0-9-_]{1,40}\.){1,3}[A-Za-z]{2,4}(/[\.~A-Za-z0-9_-]{1,20}|)$#is",$this->input[$key])) {


данных строк у себя не обнаружил. пользую дистрибутив pre-RС2
 
 
Defenderyk
Отправлено: 24 февраля 2011 — 23:00
Post Id


Пользователь
Super Member


Покинул форум
Сообщений всего: 1027
Дата рег-ции: Февр. 2009  
Репутация: 31




проверили сайт прогой acunetix

выдал:
Цитата:
GET /forum/rd.php?1%3CScRiPt%3Eprompt(994688)%3C/ScRiPt%3E HTTP/1.
 
 
BON
Отправлено: 25 февраля 2011 — 12:32
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




electron пишет:
пользую дистрибутив pre-RС2

это что за дистрибутив такой?
 
 
electron
Отправлено: 25 февраля 2011 — 13:00
Post Id



Администратор
ExBB Team


Покинул форум
Сообщений всего: 3917
Дата рег-ции: Февр. 2009  
Репутация: 341




BON , это тестовый вариант дистрибутива на котором будет RC2
 
 
BON
Отправлено: 25 февраля 2011 — 13:03
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




electron, а поюзать его ни как пользователям нельзя?
 
 
M-A-X
Отправлено: 25 февраля 2011 — 13:32
Post Id


Пользователь
Advanced Member


Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009  
Откуда: Киев
Репутация: 10




Даже не у всех тех, у кого есть доступ к тестовому раздела, нету этого дистра.

Очень странная политика разработки.

Скрытная какая-то Улыбка
 
 
roma1
Отправлено: 6 марта 2011 — 15:09
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 811
Дата рег-ции: Янв. 2011  
Откуда: СССР
Репутация: 24




нашёл на одном из форумов такое предупреждение, оно актуально? и где здесь на форуме о нём толкование?
http://hacker-pro.net/showthread.php?t=949
 
 
yura3d
Отправлено: 6 марта 2011 — 15:13
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




roma1 пишет:
нашёл на одном из форумов такое предупреждение, оно актуально? и где здесь на форуме о нём толкование?
http://hacker-pro.net/showthread.php?t=949

О боже, эта уязвимость уже лет 5 назад исправлена, если не раньше. Эти сайты для "хакеров" друг у дружки копипастят информацию, толком не разбираясь с её актуальностью на сегодняшний день
 
 
BON
Отправлено: 6 марта 2011 — 20:54
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




yura3d, а скажите на счет функции chunk_split() когда я писал, она безопасна или нет?
 
 
Alexandr
Отправлено: 1 января 2013 — 22:51
Post Id


Пользователь
Junior Member


Покинул форум
Сообщений всего: 51
Дата рег-ции: Дек. 2012  
Откуда: Russia
Репутация: 1




Хотел бы поднять вопрос по поводу общей безопасности, профилактики, т.к. всем, в принципе известно, что проблему лучше предотвратить заранее, чем убирать потом её последствия...
Вопрос собственно к знающим людям:
есть на форуме папка uploads для загрузки всяких разных файлов от пользователей с форума. Как Вы считаете возможна ли загрузка шелла под видом безобидного файла, например картинки с другим расширением (также помимо uploads есть папка с аватарами пользовталей, куда также через профиль загружаются картинки) стоит ли в этих папках поместить файл .htaccess c таким содержимым: ?
CODE:
<Files *.php>
Order Deny,Allow
Deny from All
</Files>

Или, например, так:
CODE:
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

По последнему коду ссылка на источник: http://habrahabr.ru/post/61842/

У меня в админке разрешены к загрузке аватары, картинки, jpg, gif, архивы zip, rar. Там же в админке права за закачиваемые файлы стоят 644, папки - 755.

Ещё такой вопрос - на форуме есть инструкции по установке в BB редактор кнопок видеосервисов, например, тот же ю-туб, тоже волнует вопрос насколько безопасна такая вставка и подгрузка со стороннего сервиса контента. По идее в поток можно вставить же всё что угодно.
Просветите, как вообще дела обстоят с безопасностью.

Какие ещё советы по общей безопасности можно применить, чтобы максимально обезопасить форум?
Поделитесь пожалуйста опытом.

P.S. Простите, если написал ерунду..
Информация по большей части для себя.
 
 
CAB
Отправлено: 2 января 2013 — 08:37
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 629
Дата рег-ции: Февр. 2011  
Откуда: Москва
Репутация: 30




Alexandr, зачем гадать? Попробуйте самостоятельно загрузить разные варианты. Переименуйте файл скрипта, какой-нибудь, в вид с разрешённым для загрузки расширением и попробуйте загрузить. О результате отпишитесь.
Что касается кнопок видео-сервисов, то тут все вопросы именно к видео-сервисам. Т.к. с помощью кнопки Вы всего лишь запускаете их плеер.
 
 
1Bot
Отправлено: 2 января 2013 — 08:48
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 773
Дата рег-ции: Апр. 2009  
Откуда: Днепропетровск
Репутация: 69




Alexandr пишет:
есть на форуме папка uploads для загрузки всяких разных файлов от пользователей с форума. Как Вы считаете возможна ли загрузка шелла под видом безобидного файла, например картинки с другим расширением


1) Для прикрепляемых к сообщению файлов - картинок проверяются размеры, а не-картинки пакуются с помощью gzip.

2) Имя прикрепляемого файла в папке uploads совсем не очевидное (см. Поиск сообщения по имени файла из папки UPLOADS).

3) Расширение файла в папке uploads будет *.gif,*.jpg,*.png,*.gz, поэтому каким образом (посредством чего) shell будет запускаться? Разве что Вы сами настроите Web-server так, чтобы что-то вызывать для этих расширений.
 
 
BON
Отправлено: 2 января 2013 — 09:56
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Alexandr, всё что у вас разрешено в админке (я про расширения) то и будет загружаться.
Что касаемо расширений файлов .cgi .pl .fcgi .fpl вы не забывайте что их выполнить можно их папки cgi ну или если как написала 1Bot если настроите свою папку upload как cgi то тут уже............

в общем как говорится не берите в голову, а ......
 
 
Alexandr
Отправлено: 6 января 2013 — 18:59
Post Id


Пользователь
Junior Member


Покинул форум
Сообщений всего: 51
Дата рег-ции: Дек. 2012  
Откуда: Russia
Репутация: 1




CAB пишет:
О результате отпишитесь

Попробовал залить переименованный в картинку php файлик, не вышло, он был заархивирован и приаттачен к сообщению. Также пробовал залить "не совсем правильную" аватарку - тоже не вышло ничего )
P.S. Всё это простейший эксперимент, сделанный на любительском уровне..
За советы спасибо!
В папку с персональными аватарками htaccess всё же положил. На всякий случай. Улыбка


Ещё хотел бы поинтересоваться по поводу таких действий - каждый день в админке, в логе вижу такие записи:
Цитата:
Гость :: Вход с неверными данными (promishlennieshlangi :: Abc12345) :: 124.135.29.234
03:48:56 :: Гость :: Вход с неверными данными (anastasihur :: luiza2012) :: 68.61.12.25

IP всегда разный. Записей минимум штук по 15-20 в день.
Я так понимаю что пытаются войти на форум, перебирая имена и пароли. Собственно вопрос: это в пределах нормы? Как у других? Или нужно бороться с этим и если да, то подскажите как?
Может для начала админку на всякий случай закрыть при помощи .htpasswd? Имеет смысл?

(Отредактировано автором: 6 января 2013 — 19:03)

 
 
electron
Отправлено: 6 января 2013 — 19:04
Post Id



Администратор
ExBB Team


Покинул форум
Сообщений всего: 3917
Дата рег-ции: Февр. 2009  
Репутация: 341




Alexandr пишет:
хотел бы поинтересоваться по поводу таких действий - каждый день в админке, в логе вижу такие записи:
Цитата:
Гость :: Вход с неверными данными (promishlennieshlangi :: Abc12345) :: 124.135.29.234
03:48:56 :: Гость :: Вход с неверными данными (anastasihur :: luiza2012) :: 68.61.12.25

IP всегда разный. Записей минимум штук по 15-20 в день.
Я так понимаю что пытаются войти на форум, перебирая имена и пароли. Собственно вопрос: это в пределах нормы? Как у других? Или нужно бороться с этим и если да, то подскажите как?

юзайте поиск, обсуждалось
 
 
Страниц (6): « 1 2 3 4 [5] 6 »
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Уязвимости »

> Похожие темы: Общие вопросы безопасности
Темы Форум Информация о теме Обновление
VPS и с чем его едят?
Все вопросы касательно VPS и с чем его едят.
Хостинг Ответов: 4
Автор темы: ercopav
3 марта 2013 — 13:14
Автор: BON
Индексация форума поисковыми системами
вопросы улучшения
Раскрутка Ответов: 61
Автор темы: mastersound
13 марта 2013 — 12:13
Автор: roma1
Sape...вопросы
Раскрутка Ответов: 4
Автор темы: Defenderyk
4 августа 2010 — 20:46
Автор: yura3d
Встраиваем Google map...есть вопросы
PHP/Perl Ответов: 1
Автор темы: Defenderyk
20 июля 2010 — 20:36
Автор: Defenderyk
вопрос по безопасности и оптимизации
Обсуждаем Ответов: 8
Автор темы: foozzi
19 февраля 2011 — 11:10
Автор: mastersound
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.075]     [ ]