phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
Zamknięty przez: joli
16-09-2008, 20:52
Mo?liwo?? w?amania na forum przez Junior admina
Autor Wiadomość
arcy



Pomógł: 509 razy
Posty: 3761
Wysłany: 28-04-2006, 15:03   

GrZyB997, a co to ma wspolnego z tym tematem :> ale odpowiem ci: można - uprawnienia ja
_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
 
     
Gadatliwa Kasia 

   
elymus

Pomógł: 3 razy
Posty: 85
Wysłany: 30-04-2006, 12:40   

Wydaje mi się, że jemu chodziło o to, że jak JA sie nie da tych uprawnien to sie nie wlamie na Forum.
_________________
http://www.przemo.org/php...p=228449#228449
 
     
VampirE

Pomógł: 3 razy
Posty: 47
Wysłany: 23-05-2006, 17:15   

Teraz wyglada troche inaczej, ale itak efekt ten sam :
Kod:
Blad: brak odpowiedzi, adres: http://www.przemo.org/phpBB2/forums_diagnostic.php


Blad: brak wyslanych danych z: http://www.przemo.org/phpBB2/forums_diagnostic.php
 
     
kubofonista


Posty: 25
Wysłany: 19-06-2006, 19:42   

qbs napisał/a:
ale osoba ktora bedzie chciala zaszkodzic wystarczy ze zrobi masow usuwanie uzytkownikow i postow i po forum. wowczas php ci jest nie potrzebne

Przeciez mozna to wylaczyc przerabiajac kod, tak aby dzialo tylko gdy jest zdefiniowana zmienna np ZEZWALAJ. Gdy będzie się chciało tego użyć do configu można dopisać DEFINE('ZEZWALAJ', true); i będzie można normalnie korzystać :D
 
     
nadoll1_1

Pomógł: 2 razy
Posty: 49
Wysłany: 24-07-2006, 12:17   

tylko wtedy jak junior admin ma się włamać to do której opcji w PA musi mieć dostęp :?:
 
     
Gracek


Pomógł: 222 razy
Posty: 1781
Wysłany: 24-07-2006, 12:36   

style? :roll:
_________________
###
 
     
Hapinho

Pomógł: 1 raz
Posty: 58
Wysłany: 14-03-2008, 15:33   

A ja mam pytanie, czy do wersji 1.12.6 tez musze wprowadzic te poprawki ???
 
     
kevvin!


Pomógł: 31 razy
Posty: 217
Wysłany: 14-03-2008, 15:48   

Hapinho, wątpie
_________________
BeCool
 
     
Demonical Monk


Pomógł: 4 razy
Posty: 43
Wysłany: 14-03-2008, 20:37   

A jednak! Albo problem rozwiązano w inny sposób, albo jednak nie ma żadnego patch'a na tą dziurę i 1.12.6.
 
     
Hapinho

Pomógł: 1 raz
Posty: 58
Wysłany: 15-03-2008, 16:16   

To jest ten blad w 1.12.6 czy go nie ma ???
 
     
rebelde

Posty: 20
Wysłany: 16-09-2008, 19:12   Re: Możliwość włamania na forum przez Junior admina

Widmo napisał/a:
Wprawdzie są dwa warunki użycia exploita - ale warto sie zabezpieczyc.

Wykryto dziurę która umożliwia wykonanie dowolnego kodu PHP na forum.

Pierwszy warunek - atakujący musi mieć dostęp do pliku *.css dostępnego na forum stylu (panel admina)
Czyli wystarczy że jest adminem, lub junior adminem.

Drugi warunek: *.css musi miec włączone prawa zapisu.

Jak się zabezpieczyć:

Ustaw CHMOD 444 na plik subSilver.css lub *.css swojego stylu.

Otwórz: viewtopic.php

ZNAJDZ:
Kod:

if ( $user_sig != '' )
{
    $user_sig = make_clickable($user_sig);
}
$message = make_clickable($message);


ZA DODAJ:

Kod:
$theme['fontcolor3']  = preg_replace('#[^a-f0-9]+#i','',$theme['fontcolor3']);


wiem, że wyjdę na idiotkę ale co tam xD co to jest CHMOD 444 i co ja mam właściwie zrobić? przepraszam, że takie głupie pytania ale dopiero co forum założyłam (pierwsze w życiu)...
 
     
Seraphe


Pomógł: 38 razy
Posty: 606
Wysłany: 16-09-2008, 19:14   

rebelde, minuta szukania w FAQ. Nie rób z siebie rzeczonej idiotki :roll:
_________________
"Dostałem warna i teraz obniżone zachowanie będę miał na semestr"
 
     
rebelde

Posty: 20
Wysłany: 16-09-2008, 19:23   

dzięki za pomoc już wiem :)
 
     
MagicalFire


Pomógł: 980 razy
Posty: 4353
Wysłany: 16-09-2008, 20:03   

Cytat:
To jest ten blad w 1.12.6 czy go nie ma ???

no mi sie wydaje ze powinien zostać naprawiony a czy jest ??
_________________
nie za takie Przemo walczyliśmy
 
     
Gadatliwa Kasia 

   
JrQ-


Pomógł: 147 razy
Posty: 1387
Wysłany: 16-09-2008, 20:46   

Jest.
 
     
Wyświetl posty z ostatnich:   
Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,08 sekundy. Zapytań do SQL: 13
Polecane serwisy

Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a

Sklep z gadżetami

serwis laptopów

phpbb

Design Cart - Tworzenie sklepu internetowego

iRonin.IT

• Zamów reklamę