Strict Standards: Resource ID#18 used as offset, casting to integer (18) in /home/u1001/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#24 used as offset, casting to integer (24) in /home/u1001/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#26 used as offset, casting to integer (26) in /home/u1001/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#27 used as offset, casting to integer (27) in /home/u1001/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401
ТвойWeb :: Обнаружена новая уязвимость в форуме ExBB [3]
ТвойWeb ТвойWeb
Качественный Европейский хостинг
Форум для чайников
 Чат на форуме      Помощь      Поиск      Пользователи


 Страниц (12): « 1 2 [3] 4 5 6 7 8 9 ... » В конец  

> Без описания
nokia6230
Отправлено: 12 Октября, 2005 - 01:32:25
Post Id



Super Member


Покинул форум
Сообщений всего: 522
Дата рег-ции: Февр. 2005  
Откуда: Germany

Карма 0




Стоит ли переживать вот по этому поводу?
http://video.antichat.net/videos...adoxlik/exbb.rar
Говорят, что новая уязвимость появилась...
 
 Top
TvoyWeb Администратор
Отправлено: 12 Октября, 2005 - 01:48:02
Post Id



Главный здесь


Покинул форум
Сообщений всего: 7072
Дата рег-ции: Нояб. 2003  
Откуда: Tashkent Uz

Карма 52




nokia6230
Да я знаю об этом. Но прежде чем это сделать нужно получить доступ в админку. В новой версии это уже исправлено.
 
 Top
Foster
Отправлено: 13 Октября, 2005 - 23:14:10
Post Id



Newbie


Покинул форум
Сообщений всего: 30
Дата рег-ции: Авг. 2005  

Карма 0




А там, в этом видео, есть такая штука

CODE:
[img]http://127.0.0.1/shaa.php[/img]


могут ли этим воспользоваться для внедрения эксплойта? если вместо http://127.0.0.1/ вставят http://server_hakera.ru
 
 Top
TvoyWeb Администратор
Отправлено: 14 Октября, 2005 - 00:26:01
Post Id



Главный здесь


Покинул форум
Сообщений всего: 7072
Дата рег-ции: Нояб. 2003  
Откуда: Tashkent Uz

Карма 52




Foster
Могу предложить для проверки вставить здесь на форуме такую псевдокартинку. Улыбка
 
 Top
Foster
Отправлено: 14 Октября, 2005 - 02:14:47
Post Id



Newbie


Покинул форум
Сообщений всего: 30
Дата рег-ции: Авг. 2005  

Карма 0




Да, прикольно получается Улыбка

А где в коде стоит проверка:
если
попытка вставить в тег img то, чего там быть не должно
то
выдаём кулхацкеру облом в виде картинки с error'ом
 
 Top
TvoyWeb Администратор
Отправлено: 14 Октября, 2005 - 02:26:51
Post Id



Главный здесь


Покинул форум
Сообщений всего: 7072
Дата рег-ции: Нояб. 2003  
Откуда: Tashkent Uz

Карма 52




Foster
Просто это работает скрипт превьюшек. Он проверяет картинка это или нет. Если не картинка то показываем error.
 
 Top
nokia6230
Отправлено: 07 Ноября, 2005 - 02:28:12
Post Id



Super Member


Покинул форум
Сообщений всего: 522
Дата рег-ции: Февр. 2005  
Откуда: Germany

Карма 0




Внимание всем!!!
Обнаружена новая уязвимость в форуме.
Злоумышленник может захватить ваши cookie .
Для того что бы это не произошло, зайдите в файл lib.php и найдите слудующий код:
CODE:
$post = preg_replace("#\[code\](.+?)\[/code\]#ies","set_code('\\1')",$post);

Вставьте сразу после него этот код:
CODE:
$post = preg_replace_callback("#\[email\](.+?)\[/email\]#is",
create_function(
'$matches',
'if (preg_match("#^[a-zA-Z0-9\-_]+\@(\[?)[a-zA-Z0-9\-\.]+\.([a-zA-Z]{2,4}|[0-9]{1,4})(\]?)$#is",$matches[1])) {
return "<a href=\"mailto:".$matches[1]."\">".$matches[1]."</a>";
} else {
return "<span style=\"color:red;\">[censored]</span>";
}'
),$post);

Находим и удаляем строки
CODE:
$post = preg_replace( "#\[email\](\S+?)\[/email\]#i", "<a href='mailto:\\1'>\\1</a>", $post );
$post = preg_replace( "#\[email\s*=\s*\&quot\;([\.\w\-]+\@[\.\w\-]+\.[\.\w\-]+)\s*\&quot\;\s*\](.*?)\[\/email\]#i", "<a href='mailto:\\1'>\\2</a>", $post );
$post = preg_replace( "#\[email\s*=\s*([\.\w\-]+\@[\.\w\-]+\.[\w\-]+)\s*\](.*?)\[\/email\]#i", "<a href='mailto:\\1'>\\2</a>", $post );


На этом редактирование закончено!
 
 Top
Леголегс Администратор
Отправлено: 07 Ноября, 2005 - 18:51:50
Post Id



JS-маньяк


Покинул форум
Сообщений всего: 2109
Дата рег-ции: Июль 2004  
Откуда: Липецк

Карма 17




nokia6230
Здорово
 
 Top
nokia6230
Отправлено: 18 Декабря, 2005 - 21:14:36
Post Id



Super Member


Покинул форум
Сообщений всего: 522
Дата рег-ции: Февр. 2005  
Откуда: Germany

Карма 0




Вас могут закидать троянами. У вас могут украсть куки. Ваш пароль могут подобрать. Вы можете случайно сказать свой админский пароль на форум. И в конце концов злоумышленик попадает на форум под админскими правами. Первое, что ему взбредет в голову, дык это полезть моментом в ваш админцентер, чтоб там чтонить вам запароть... К примеру выкинуть вас с форума, или же просто вас забанить на своем же родном и вами вырощеном форуме. У вас отбирают ваше дитя.
Есть один интересный способ запретить посторонним доступ в админцентер. А то поставить пароль на файл admincenter.php
Этот пароль будет исходить из .htaccess
Вот по этой ссылке если пойти, то можно попасть на генератор кода и иструкцию для запароливание определенного файла. http://tools.dynamicdrive.com/password/
Я лично у себя проделал все это счастье для страховки и теперь не думаю, э том что кто-то попытается стырить мои куки...
Вот можете для теста глянуть Пример
 
 Top
Che Guevara
Отправлено: 01 Января, 2006 - 20:38:42
Post Id



Newbie


Покинул форум
Сообщений всего: 25
Дата рег-ции: Авг. 2005  
Откуда: Сталь

Карма 0




Я смотрю exbb.net не дает форума. все как буд-то обнулилось. его что ломанули? че за фигня- кто-нить знает??
у меня на днях тоже форум хакнули- обнулили ВСЕ темы. такого не было за все время, которое у меня стоит форум (с 2003 года)
то, что хакнули- нет сомнения, юзер оставил послание..
 
 Top
Страниц (12): « 1 2 [3] 4 5 6 7 8 9 ... » В конец
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0, скрытых: 0)
« ExBB - лучший форум на файлах »


Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.



Форум на AlfaSpace.NET


Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0565]     [ Gzipped ]



Notice: ob_end_flush(): failed to send buffer of ob_gzhandler (1) in /home/u1001/domains/tvoyweb.ru/public_html/forums/include/page_tail.php on line 33