engie

Собственно интересует как добавить некоторый php-код на форум? версия 2.1.7.

Повторяю... от тэга ничего не зависит... он не отличается от всех остальных! Пробовать в паблике не буду, ибо я думаю поймут как работает... хотя хЗ... пока пойду на последнем форуме потестирую... как раз версия 2.2.2

а разве не так))) если не гонишЪ, то продал бы кому-нибудь багу, а не трезвонил тут))))) А вот в том вся фишка что никто не знает как это делается... но способ очень простой... но нужно в реальном времени следить. Не особо рвусь продать... ради интереса особо написал... что бы не думал народ что их форумы/сайты неуязвимы А если кто и хочет купить можете постучать в приват

http://localhost/test_image.jpg Содержимое файла - не нужно Какой ты проницательный

Скинуть что? описания к этому нет... ничего для этого нет... нужно только быть админом + хацкером что бы это знать.

Хехе тэг не содержит ничего подозрительного... только прямую ссылку на рисунок 1) ЭТО неотфильтруешь... ибо это... обычная ссылка на рисунок. 2) Я же говорю... изображение даже не требуется... вообще никакое.

Что значит "публиковать рисунки" ? Тег IMG или аттачи? Обычным тэгом. img_url

Пробовал на 7-ми форумах... 2 из них работают на версии 2.2.2. Прекрасно куки ко мне улетали. Юзать конечно не собираюсь... но... кто то может додуматься.

Нет, эта уязвимость существует всегда, а точнее тогда когда включена возможность публиковать рисунки. Рисунок НЕ СОДЕРЖИТ никаких XSS и скриптов и к нему не нужно обращаться напрямую. Читаем... а мои посты читаем? Так вот... никаких специальных изображений не нужно... по секрету... никакие не нужны... все можно сделать без единого изображения... но при этом ссылка на некое изображение присуствовать будет.

Вот собственно... сегодня нашел уязвимость в IPB, в изображениях размещаемых на форуме, точнее объяснять не буду что бы не использовали... но таким способом можно легко украсть куки жертвы, с любым размещаемым изображением можно украсть куки, даже если в этом изображении не содержится никаких скриптов, вредоносных кодов и тд. Зачем это пишу хз но все таки что бы знали что есть такая штука в IPB и любом другом движке. Подверженные браузеры IE6 и IE7. Mozzila FireFox не подвергается этому, другие браузеры пока тестирование не проходили.

Как запретить изображения с FTP? а то браузер подвисает иногда при загрузке таких изображений.

автор не знает, что шаблоны в 2.х редактируются из админцентра... как надоели эти моды про ICQ штук 6 уже и все одинаковые Чо та типа таво

Изменение файлов - худшее решение ставить мод который можно спокойно поставить изменяя только стили. И чем же мне этот мод напомнил мой? O.o http://www.ibresource.ru/db/865/

Идешь и регишь... забиваешь на нужный ип... и нет проблем... например http://no-ip.com И папку forum/upload можно легко сменить... путем копирования т.е. перемещения А вообще ты сначала смотри где создаешь топик.

Для ентово есть мод, у мя где то был... но йандекс найдет всё.