To jest tylko wersja do druku, aby zobaczyć pełną wersję tematu, kliknij TUTAJ
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo
Ogłoszenia - Mo?liwo?? w?amania na forum przez Junior admina
arcy - 28-04-2006, 15:03
GrZyB997, a co to ma wspolnego z tym tematem :> ale odpowiem ci: można - uprawnienia ja
elymus - 30-04-2006, 12:40
Wydaje mi się, że jemu chodziło o to, że jak JA sie nie da tych uprawnien to sie nie wlamie na Forum.
VampirE - 23-05-2006, 17:15
Teraz wyglada troche inaczej, ale itak efekt ten sam :
Kod:
Blad: brak odpowiedzi, adres: http://www.przemo.org/phpBB2/forums_diagnostic.php


Blad: brak wyslanych danych z: http://www.przemo.org/phpBB2/forums_diagnostic.php
kubofonista - 19-06-2006, 19:42
qbs napisał/a:
ale osoba ktora bedzie chciala zaszkodzic wystarczy ze zrobi masow usuwanie uzytkownikow i postow i po forum. wowczas php ci jest nie potrzebne

Przeciez mozna to wylaczyc przerabiajac kod, tak aby dzialo tylko gdy jest zdefiniowana zmienna np ZEZWALAJ. Gdy będzie się chciało tego użyć do configu można dopisać DEFINE('ZEZWALAJ', true); i będzie można normalnie korzystać :D
nadoll1_1 - 24-07-2006, 12:17
tylko wtedy jak junior admin ma się włamać to do której opcji w PA musi mieć dostęp :?:
Gracek - 24-07-2006, 12:36
style? :roll:
Hapinho - 14-03-2008, 15:33
A ja mam pytanie, czy do wersji 1.12.6 tez musze wprowadzic te poprawki ???
kevvin! - 14-03-2008, 15:48
Hapinho, wątpie
Demonical Monk - 14-03-2008, 20:37
A jednak! Albo problem rozwiązano w inny sposób, albo jednak nie ma żadnego patch'a na tą dziurę i 1.12.6.
Hapinho - 15-03-2008, 16:16
To jest ten blad w 1.12.6 czy go nie ma ???
rebelde - 16-09-2008, 19:12
Temat postu: Re: Możliwość włamania na forum przez Junior admina
Widmo napisał/a:
Wprawdzie są dwa warunki użycia exploita - ale warto sie zabezpieczyc.

Wykryto dziurę która umożliwia wykonanie dowolnego kodu PHP na forum.

Pierwszy warunek - atakujący musi mieć dostęp do pliku *.css dostępnego na forum stylu (panel admina)
Czyli wystarczy że jest adminem, lub junior adminem.

Drugi warunek: *.css musi miec włączone prawa zapisu.

Jak się zabezpieczyć:

Ustaw CHMOD 444 na plik subSilver.css lub *.css swojego stylu.

Otwórz: viewtopic.php

ZNAJDZ:
Kod:

if ( $user_sig != '' )
{
    $user_sig = make_clickable($user_sig);
}
$message = make_clickable($message);


ZA DODAJ:

Kod:
$theme['fontcolor3']  = preg_replace('#[^a-f0-9]+#i','',$theme['fontcolor3']);


wiem, że wyjdę na idiotkę ale co tam xD co to jest CHMOD 444 i co ja mam właściwie zrobić? przepraszam, że takie głupie pytania ale dopiero co forum założyłam (pierwsze w życiu)...
Seraphe - 16-09-2008, 19:14
rebelde, minuta szukania w FAQ. Nie rób z siebie rzeczonej idiotki :roll:
rebelde - 16-09-2008, 19:23
dzięki za pomoc już wiem :)
MagicalFire - 16-09-2008, 20:03
Cytat:
To jest ten blad w 1.12.6 czy go nie ma ???

no mi sie wydaje ze powinien zostać naprawiony a czy jest ??
JrQ- - 16-09-2008, 20:46
Jest.


Powered by phpBB modified by Przemo © 2003 phpBB Group