Zamknięty przez: joli 16-09-2008, 20:52 |
Mo?liwo?? w?amania na forum przez Junior admina |
Autor |
Wiadomość |
arcy
Pomógł: 509 razy Posty: 3761
|
|
|
|
|
Gadatliwa Kasia
|
|
|
|
elymus
Pomógł: 3 razy Posty: 85
|
|
|
|
|
VampirE
Pomógł: 3 razy Posty: 47
|
Wysłany: 23-05-2006, 17:15
|
|
|
Teraz wyglada troche inaczej, ale itak efekt ten sam :
Kod: | Blad: brak odpowiedzi, adres: http://www.przemo.org/phpBB2/forums_diagnostic.php
Blad: brak wyslanych danych z: http://www.przemo.org/phpBB2/forums_diagnostic.php |
|
|
|
|
|
kubofonista
Posty: 25
|
Wysłany: 19-06-2006, 19:42
|
|
|
qbs napisał/a: | ale osoba ktora bedzie chciala zaszkodzic wystarczy ze zrobi masow usuwanie uzytkownikow i postow i po forum. wowczas php ci jest nie potrzebne |
Przeciez mozna to wylaczyc przerabiajac kod, tak aby dzialo tylko gdy jest zdefiniowana zmienna np ZEZWALAJ. Gdy będzie się chciało tego użyć do configu można dopisać DEFINE('ZEZWALAJ', true); i będzie można normalnie korzystać |
|
|
|
|
nadoll1_1
Pomógł: 2 razy Posty: 49
|
Wysłany: 24-07-2006, 12:17
|
|
|
tylko wtedy jak junior admin ma się włamać to do której opcji w PA musi mieć dostęp |
|
|
|
|
Gracek
Pomógł: 222 razy Posty: 1781
|
Wysłany: 24-07-2006, 12:36
|
|
|
style? |
_________________ ### |
|
|
|
|
Hapinho
Pomógł: 1 raz Posty: 58
|
Wysłany: 14-03-2008, 15:33
|
|
|
A ja mam pytanie, czy do wersji 1.12.6 tez musze wprowadzic te poprawki ??? |
|
|
|
|
kevvin!
Pomógł: 31 razy Posty: 217
|
Wysłany: 14-03-2008, 15:48
|
|
|
Hapinho, wątpie |
_________________ BeCool |
|
|
|
|
Demonical Monk
Pomógł: 4 razy Posty: 43
|
Wysłany: 14-03-2008, 20:37
|
|
|
A jednak! Albo problem rozwiązano w inny sposób, albo jednak nie ma żadnego patch'a na tą dziurę i 1.12.6. |
|
|
|
|
Hapinho
Pomógł: 1 raz Posty: 58
|
Wysłany: 15-03-2008, 16:16
|
|
|
To jest ten blad w 1.12.6 czy go nie ma ??? |
|
|
|
|
rebelde
Posty: 20
|
Wysłany: 16-09-2008, 19:12 Re: Możliwość włamania na forum przez Junior admina
|
|
|
Widmo napisał/a: | Wprawdzie są dwa warunki użycia exploita - ale warto sie zabezpieczyc.
Wykryto dziurę która umożliwia wykonanie dowolnego kodu PHP na forum.
Pierwszy warunek - atakujący musi mieć dostęp do pliku *.css dostępnego na forum stylu (panel admina)
Czyli wystarczy że jest adminem, lub junior adminem.
Drugi warunek: *.css musi miec włączone prawa zapisu.
Jak się zabezpieczyć:
Ustaw CHMOD 444 na plik subSilver.css lub *.css swojego stylu.
Otwórz: viewtopic.php
ZNAJDZ:
Kod: |
if ( $user_sig != '' )
{
$user_sig = make_clickable($user_sig);
}
$message = make_clickable($message); |
ZA DODAJ:
Kod: | $theme['fontcolor3'] = preg_replace('#[^a-f0-9]+#i','',$theme['fontcolor3']); |
|
wiem, że wyjdę na idiotkę ale co tam xD co to jest CHMOD 444 i co ja mam właściwie zrobić? przepraszam, że takie głupie pytania ale dopiero co forum założyłam (pierwsze w życiu)... |
|
|
|
|
Seraphe
Pomógł: 38 razy Posty: 606
|
Wysłany: 16-09-2008, 19:14
|
|
|
rebelde, minuta szukania w FAQ. Nie rób z siebie rzeczonej idiotki |
_________________ "Dostałem warna i teraz obniżone zachowanie będę miał na semestr" |
|
|
|
|
rebelde
Posty: 20
|
Wysłany: 16-09-2008, 19:23
|
|
|
dzięki za pomoc już wiem |
|
|
|
|
MagicalFire
Pomógł: 980 razy Posty: 4353
|
Wysłany: 16-09-2008, 20:03
|
|
|
Cytat: | To jest ten blad w 1.12.6 czy go nie ma ??? |
no mi sie wydaje ze powinien zostać naprawiony a czy jest ?? |
_________________ nie za takie Przemo walczyliśmy |
|
|
|
|
Gadatliwa Kasia
|
|
|
|
JrQ-
Pomógł: 147 razy Posty: 1387
|
Wysłany: 16-09-2008, 20:46
|
|
|
Jest. |
|
|
|
|
|