ТвойWeb :: Версия для печати :: Обнаружена новая уязвимость в форуме ExBB [10]

91. ETC - 15 Августа, 2006 - 04:32:56 - перейти к сообщению

Леголегс
в php регистр названий функций неважен

92. Леголегс - 18 Августа, 2006 - 16:31:00 - перейти к сообщению

ETC пишет:

в php регистр названий функций неважен

Ненавижу php Улыбка

93. ETC - 18 Августа, 2006 - 17:18:10 - перейти к сообщению

Леголегс
Никто не заставляет привыкать, просто говорю по факту.

94. Cyber-Cat - 19 Ноября, 2006 - 10:07:50 - перейти к сообщению

Сегодня обнаружил в корневой папке форума, 2 файла:
r57.php (это shell), и второй какой то "register shell" - не понятно че делающий,
содержащий строку

CODE:

-(для exbb: data_str=substr(data_str,8))-

(прикрепляю его для изучения)
Походу был залит через modules/birstday

95. ETC - 19 Ноября, 2006 - 14:12:22 - перейти к сообщению

Через userstop мне заливали такой шелл (на эхбб 1.9.1), больше вроде не было.

96. sany74 - 19 Марта, 2007 - 14:12:35 - перейти к сообщению

Может я ошибаюсь, но html теги раньше в посте форума блокировались, а тперь работают
Sany <div style...></div></div>
у меня они допускаются...почему????

97. Ray Wen - 19 Марта, 2007 - 14:18:26 - перейти к сообщению

sany74
Может по тому что ты админ или модер? Улыбка

98. sany74 - 19 Марта, 2007 - 14:35:05 - перейти к сообщению

Админ или модер может писать в сообщении html теги и они стануть работать?
Этот момент я упустил, а ведь он очень важен. Придется проводить лик без...жаль нет функции запрета тегов вообще............. это могло повысить безопастность!

99. Ray Wen - 19 Марта, 2007 - 15:18:53 - перейти к сообщению

sany74
Не назначай модерами кого попало, вот и весь секрет безопасности...

100. anikey - 09 Июля, 2007 - 07:54:19 - перейти к сообщению

народ, кто-то знает как залатать дыры в куках?
1.) пароли там хранятся в открытом виде.
2.) если на 1 хосте стоят 2 форума, можно спокойно взломать другой если у тебя есть доступ к одному из них(проблема опять же в куках там не устанавливается путь)