ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (6): « 1 2 [3] 4 5 6 »   

> Без описания
yura3d
Отправлено: 10 января 2010 — 16:23
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




DreaMinder пишет:
читал, и прабла в том, что гостям запрещено публиковать ответы и темы... а спамят именно гости... и обычно с разными ip в одной подсети... все попробовал кроме модов и "Разрешить пользователям задавать себе пароль? " - по личным причинам.

Значит у Вас имеется сторонняя брешь в безопасности, позволяющая добавлять сообщения на форум в обход скриптов форума (поскольку запрет в админке на создание тем и сообщений для гостей работает правильно, эта функция уже неоднократно проверялось и подтверждена годом бесперебойной работы данной версии форума на этом и множестве других сайтов). Проверяйте правильность расстановки прав доступа на файлы и папки текстовой базы данных форума. Все права доступа должны быть расставлены строго в соответствии с инструкциями хостера, иначе в некоторых случаях расстановка слишком широких прав (0777, 0755 и т.д.) на некоторых хостингах может открыть доступ к файлам Вашего форума для других пользователей (клиентов) хостинга
 
 
DreaMinder
Отправлено: 10 января 2010 — 16:29
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 38
Дата рег-ции: Янв. 2010  
Репутация: 2




ну ладно...
но хост не давал никаких инструкций... и поддержка на столько забита, что он мне точно не ответит...
как я выводил права? расставил 666 на все, а потом судя по ошибкам на форуме выставлял 667 или 777
короче спасибо.. буду разбираться
 
 
altjo
Отправлено: 15 февраля 2010 — 16:29
Post Id


Пользователь
ExBB Skins Creator


Покинул форум
Сообщений всего: 277
Дата рег-ции: Февр. 2009  
Репутация: 86




это правда или ложь?
Скрытый текст:
Для просмотра Вам необходимо авторизоваться

пассивные это ведь не страшно)
 
 
lisiycat
Отправлено: 15 февраля 2010 — 17:22
Post Id



Пользователь
ExBB Team
ExBB Ukrainian Translator


Покинул форум
Сообщений всего: 560
Дата рег-ции: Февр. 2009  
Откуда: Чернигов
Репутация: 56




altjo пишет:
это правда или ложь?
http_://forum.inattack.ru/index.p...?showtopic=23005


Ссылка не открывается Хм

Сори, все открылось.

ЗЫ На всякий случай сделал принтскрин, если нужно будет прикреплю

(Отредактировано автором: 15 февраля 2010 — 17:49)

 
 
yura3d
Отправлено: 15 февраля 2010 — 18:52
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




altjo
lisiycat
vipraskrutka
Подтверждаю, проблема со скриптом редиректа rd.php есть, но чтобы ей воспользоваться нужно сочетание как минимум 2-х событий. Вредоносную ссылку c XSS (подобную приведённой altjo по ссылке выше) нельзя опубликовать на форуме или переслать в ЛС, эту ссылку и подобные ей можно отправить разве что по e-mail, ICQ и т.п. Если жертва кликнет подобную ссылку (при условии что она использует IE6), злоумышленник может украсть cookies жертвы, иными словами проделать то, что называется XSS.

Чтобы закрыть эту брешь, в самом начале скрипта rd.php разместите фильтрующий фрагмент, который будет осуществлять проверку правильности адреса перед осуществлением редиректа:
CODE:
<?php
if (!preg_match('#^(http|https|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is', $_SERVER['QUERY_STRING']))
die;
?>

Данное исправление является критическим, однако тем, у кого мод перехода по внешним ссылкам через редирект не установлен, оно не нужно.
 
 
yura3d
Отправлено: 15 февраля 2010 — 19:20
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




vipraskrutka пишет:
yura3d интересно о каких дырках в post запросах они еще имели в виду...

А ни о каких, из этой фразы всё становится ясно:
Цитата:
Какая кодировка может обойти htmlspecialchars() ?

Вопрос вообще поставлен некорректно. Все входные данные POST экранируются, поэтому в данном случае они пытаются найти кодировку, где экранирование не будет работать (а оно не будет работать в кодировке, где управляющие символы представлены другими значениями их кодов в памяти). Однако это бесмысленно, поскольку браузер оперериует непосредственно ASCII-кодами управляющих символов (хотя в отношении того же IE6 всякое может быть), постольку они будут бесконечно искать свою кодировку и декодеры к ней:
Цитата:
Если ответите и дадите ссылу на декодер

Для тех, кто очень сильно боится, предлагаю настроить Apache для принудительной перекодировки всех входящих на форум запросов и отдаваемых страниц форума в windows-1251, тогда смысла в подмене кодировки нет
 
 
altjo
Отправлено: 20 февраля 2010 — 13:50
Post Id


Пользователь
ExBB Skins Creator


Покинул форум
Сообщений всего: 277
Дата рег-ции: Февр. 2009  
Репутация: 86




и есть одна мелочь...

Скрытый текст:
Для просмотра Вам необходимо авторизоваться и оставить не менее 20 сообщений

(Отредактировано автором: 23 февраля 2010 — 16:14)

 
 
yura3d
Отправлено: 21 февраля 2010 — 21:08
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




altjo
Ничего страшного в данном случае нет, просто в скрипте отсутствовала проверка на наличие элемента, соответствующего запрашиваемому файлу, в массиве прикреплённых файлов. Учитывая что все входящие данные от пользователя экранируются, никакой угрозы безопасности этот недочёт в себе не несёт.

Для исправления открываем файл printfile.php, находим строку:
CODE:
if (!file_exists('uploads/'.$attaches[$attach_id]['id'])) {

и заменяем её строкой:
CODE:
if (!isset($attaches[$attach_id]['id']) || !file_exists('uploads/'.$attaches[$attach_id]['id'])) {

Вот и всё! Улыбка
 
 
M-A-X
Отправлено: 24 февраля 2010 — 01:21
Post Id


Пользователь
Advanced Member


Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009  
Откуда: Киев
Репутация: 10




В первом сообщении на данной странице в
CODE:
<
if (!preg_match('#^(http|https|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is',


CODE:
a-zA-Z0-9


может лучше заменить на

CODE:

\w

Просто меньше букв в регулярном выражении Улыбка
 
 
yura3d
Отправлено: 27 февраля 2010 — 14:15
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




M-A-X пишет:
может лучше заменить на

Не лучше. Уже вышла обновлённая версия скрипта редиректа rd.php, где однозначно согласно документации PHP определён набор символов, не подлежащих URL-кодированию и через которые кодируются все остальные символы. Подробности здесь
 
 
ildar
Отправлено: 22 марта 2010 — 06:23
Post Id



Пользователь
Junior Member


Покинул форум
Сообщений всего: 52
Дата рег-ции: Июль 2009  
Репутация: 2




В последнии дни в логах ошибок хостинга стали появляться такие строки:
CODE:
[Mon Mar 22 08:35:47 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/
[Mon Mar 22 08:36:06 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/

Посмотрел логи доступа, с этого ip пытались зайти по этому адресу:
Скрытый текст:
Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений

Решил посмотреть в Гугле, почему такой странный запрос и узнал, что это была попытка взлома через уязвимость скриптов ExBB А?!
Скрытый текст:
Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений

Вопрос, эти уязвимости закрыты? А?!
 
 
yura3d
Отправлено: 22 марта 2010 — 06:55
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




ildar
Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны
 
 
ildar
Отправлено: 22 марта 2010 — 07:03
Post Id



Пользователь
Junior Member


Покинул форум
Сообщений всего: 52
Дата рег-ции: Июль 2009  
Репутация: 2




yura3d пишет:
ildar
Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны

Спасибо, теперь я спокоен Улыбка

P.S. Самое интересное, что в бюллетене безопасности говорится о версии 1.9.1, скачал из архива эту версию, посмотрел, а там вообще нет ни папки /modules, ни тех файлов, которые перечислены в бюллетене.

(Отредактировано автором: 22 марта 2010 — 10:46)

 
 
Светлана
Отправлено: 11 августа 2010 — 16:28
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0.
Что за нечисть?
CODE:
<?die;?>a:28:{s:2:"id";i:0;s:6:"status";s:2:"me";s:4:"name";s:13:"wetdiedoidogy";s:4:"pass";s:8:
"KuFhMEAV";s:4:"mail";s:22:"megatron300@rambler.ru";s:5:"title";s:0:"";s:5:"posts"
;i:0;s:6:"joined";i:1281110445;s:2:"ip";s:14:"62.153.174.197";s:9:"showemail";b:0;
s:3:"www";s:0:"";s:3:"icq";s:0:"";s:3:"aim";s:0:"";s:8:"location";s:0:"";s:9:"interest
s";s:0:"";s:3:"sig";s:0:"";s:6:"sig_on";b:0;s:4:"lang";s:7:"russian";s:4:"skin";s:12:"I
nvisionExBB";s:7:"timedif";i:0;s:6:"avatar";s:12:"noavatar.gif";s:6:"upload";b:1;s:7:"
visible";b:0;s:6:"new_pm";b:0;s:9:"sendnewpm";b:0;s:10:"posts2page";i:15;s:11:"t
opics2page";i:15;s:10:"last_visit";i:0;}

Грешить ли на хостера? или?

(Отредактировано автором: 11 августа 2010 — 16:29)

 
 
yura3d
Отправлено: 11 августа 2010 — 17:02
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Светлана пишет:
Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0.
Что за нечисть?

В подобных файлах форум хранит информцию о неподтверждённых (неактивированных) по e-mail регистрациях. Как только зарегистрировавшийся пользователь переходит по ссылке в письме с инструкцией по активации, ему присваивается номер (ID) и информация из временного файла перемещается в файл с этим номером. Если же в течение 24 часов с момента регистрации активация не будет произведена, временный файл будет удалён
 
 
Страниц (6): « 1 2 [3] 4 5 6 »
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Уязвимости »

> Похожие темы: Общие вопросы безопасности
Темы Форум Информация о теме Обновление
VPS и с чем его едят?
Все вопросы касательно VPS и с чем его едят.
Хостинг Ответов: 4
Автор темы: ercopav
3 марта 2013 — 13:14
Автор: BON
Индексация форума поисковыми системами
вопросы улучшения
Раскрутка Ответов: 61
Автор темы: mastersound
13 марта 2013 — 12:13
Автор: roma1
Sape...вопросы
Раскрутка Ответов: 4
Автор темы: Defenderyk
4 августа 2010 — 20:46
Автор: yura3d
Встраиваем Google map...есть вопросы
PHP/Perl Ответов: 1
Автор темы: Defenderyk
20 июля 2010 — 20:36
Автор: Defenderyk
вопрос по безопасности и оптимизации
Обсуждаем Ответов: 8
Автор темы: foozzi
19 февраля 2011 — 11:10
Автор: mastersound
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0963]     [ ]