461. St.A.N. - 02 Июля, 2006 - 23:44:04 - перейти к сообщению
Куда делись стрелки для просмотра первого/последнего поста?
462. DeadScorpion - 09 Июля, 2006 - 12:10:24 - перейти к сообщению
ЭЭЭЭ! типа не нашёл соответствующей темы, типа баг на самом сайте! Я кликнул на кнопку Добавить в Избранное, ну там звезда такая, и мне в избранное добавился старый сайт Tvoyweb те http://tvoyweb.narod.ru/ а надо наверное http://tvoyweb.ru!
Или я чё-то не втыкаю?
Или я чё-то не втыкаю?
463. SviMik - 09 Июля, 2006 - 14:39:57 - перейти к сообщению
Када ищю по разделам, пишет
Цитата:
Посылать сообщения в этот форум могут только зарегистрированные участники!
464. DeadScorpion - 09 Июля, 2006 - 15:05:54 - перейти к сообщению
Маркус!!! Я вот посмотрел структуру форума ExBB 1.9.1 и нашёл огромную дыру! Просто ОГРОМНУЮ, с её помощью за 1 минуту моно права админа заполучить!!! Мне кажется пора переходить на Фулл, ото я проверил сам, залил на свой ххост 1.9.1 и робит!! Это ужасно!! Я не хочу чтоб какой-то ... ломанул этот форум, больно мне здеся ндравиться! Админы отведте! Это реальная дыра!
465. SviMik - 09 Июля, 2006 - 15:11:59 - перейти к сообщению
DeadScorpion
В Фулле исправлено 1024 дыры уже. Пора бы уже переходить! А дыры допотопных версий не обсуждаются!
В Фулле исправлено 1024 дыры уже. Пора бы уже переходить! А дыры допотопных версий не обсуждаются!
466. DeadScorpion - 09 Июля, 2006 - 15:19:06 - перейти к сообщению
Балин ты мня не понял! сам я сижу на 0.1.5! А вот ЭТОТ форум до сих пор на 1.9.1! И для него эта дыра!!!! С помощью прочки движений на клаве моно плучить Админские прва!! Я просто не знаю это мож уже залатано?
467. Леголегс - 09 Июля, 2006 - 15:43:22 - перейти к сообщению
DeadScorpionБез паники. Конкретно этот форум её покруче 0.1.5 будет От ExBB 1.9.1 уже немного осталось
468. DeadScorpion - 09 Июля, 2006 - 15:47:34 - перейти к сообщению
Ну тогда всё номано! просто проверил у себя и пользователь получил прва Админа! Дыра основана на небезопасном изменении профиля юзера через Админку!
469. DeadScorpion - 10 Июля, 2006 - 09:40:30 - перейти к сообщению
А может мне проверить! Балин да кому тут моно послать код чтоб узнать залатана эта дыра или нет? Дыра проверена мною, на 1.9.1!
Если в кратце сказать то дыра состоит в том что данные при изменение профиля юзера через Админцент плохо защищены, и можно подделать весь этот процесс, залив на свой хост один файл и кинув в личку Админу месагу с ссылкой к шелу в тегах IMG и ты Админ! Да и заодно на мыло Куки админа моно получить!
Если в кратце сказать то дыра состоит в том что данные при изменение профиля юзера через Админцент плохо защищены, и можно подделать весь этот процесс, залив на свой хост один файл и кинув в личку Админу месагу с ссылкой к шелу в тегах IMG и ты Админ! Да и заодно на мыло Куки админа моно получить!
470. Дмитрий Б. - 18 Июля, 2006 - 21:21:02 - перейти к сообщению
[Script Execution time: 35,0876]
(http://tvoyweb.ru/forums/topic.php?forum=28&topic=11&v=l#1153271775)
После добавления сообщения... Не многовато ли?
(http://tvoyweb.ru/forums/topic.php?forum=28&topic=11&v=l#1153271775)
После добавления сообщения... Не многовато ли?