Andrzej.K - 25-03-2004, 08:03 Temat postu: UWAGA! Wielka dziura w kazdym phpBB by Przemo i oryginalnym Witam... Nie mogęem znaleźć nic na ten temat... więc pytam... Znalazłem dziś na forum, prób? umieszczenia takiego oto obrazka: *********pl/admin%20php?op=AddAuthor&add_aid=attacker&add_n ame=war&add_pwd=coolpass&add_email=kala%20hot%20ee&add_radm insuper=1 Było to oczywięcie ograniczone znaczkimami IMG... oraz w miejscu **** był adres forum... Odwołanie było do pliku admin.php - ale nie w katalou admin... Cóż to mogłoby zrobić, albo zrobićo... nic nie znalazłem w bazie - ale może szukam w niew?a?ciwym miejscu... Wszelkie info mile widzidziane... Widmo - 25-03-2004, 12:15 http://bugtraq.cc-team.org/pokaz.php?id=295 Andrzej.K - 25-03-2004, 13:02 Hmmm... czyli włamywacz amator... @Widmo dzięki za info... Widmo - 25-03-2004, 13:05 np. zobacz kto dostal admina, i kto napisal tego posta. przyjelo obrazek ? Przemo - 25-03-2004, 13:19 heh tak nowe dziury w phpbb, miedzy innymi taka: I w tym momencie gdy na to patrzycie jestescie juz wylogowani 
To z tym panelem admina jest bardzo niebiezpieczne, pare godzin temu na phpBB jeszcze nic nie pisali ide zobaczyc czy juz jest łata. Kod ktory wkleilem wyzej to:
Przemo - 25-03-2004, 13:52 Ok, nie ma co to jest zbyt niebezpieczne. Obowiazkowo kazdy niech otworzy plik /includes/bbcode.php i zamieni: $replacements[] = $bbcode_tpl['img']; na: $replacements[] = "[IMG]Tymczasowo wylaczone[/IMG]"; I czekamy co panowie z phpBB Group wymysla, ale czuje ze nie bedzie prostej roboty i trzeba bedzie wiele plikow w phpBB zamieniac. Andrzej.K - 25-03-2004, 13:55 Dobre... to... trudno się teraz odpowiedź pisze... trzeba koniecznie to jakoś zabezpieczyć... [ Add: 25-03-2004, 13:57 ] No w?a?nie... długo tra?o zanim napisałem odpowiedź jako zalogowany
nilhir - 25-03-2004, 14:43 Dzięki, za info w mailu. Ja bym proponowa? przyklui? ten temat. Tech - 25-03-2004, 14:54 Można usuna? całkowicie $replacements[] = $bbcode_tpl['img']; i nic innego nie dopisując wtedy pozostana linki do obazów, ale też i inne smieci... :cry: Przemo - 25-03-2004, 15:19 to tylko tymczasowo, mysle ze phpBB Grou szybko cos wymysli. drott - 25-03-2004, 15:27 A czy nie wystarczy w PA wylaczyc w pisaniu tematu buttona [IMG] ? Przemo - 25-03-2004, 15:33 nie bo t wylaczanie jest zludne, wylacza ylko przycisk mopek - 25-03-2004, 15:33
przecież to nie zmieni faktu, że możesz to wpisać ręcznie... drott - 25-03-2004, 15:36 fakt. To nie byl madry pomysl
Grucha - 25-03-2004, 15:37 TO może zamiast usuwać dać // na początku ta linia może jeszcze sie przyda?. |
||||||||||
