Перейти к контенту

Поиск в системе

Результаты поиска по тегам 'безопасность'.

  • Поиск по тегам

    Введите теги через запятую.
  • Поиск по автору

Тип контента


Форумы

  • IBResource
    • Новости IP.Board
    • Коммерческие вопросы
    • Отзывы и пожелания
  • Invision Power Services
    • Новости компании InvisionPowerServices
    • Новости магазина модификаций IPS Marketplace
  • Для клиентов
  • Технические вопросы
    • Общие вопросы по IPB 4
    • Общие вопросы (по IPB 3.4.x)
    • Общие вопросы (по IPB 3.3.x)
    • Общие вопросы (по IPB 3.2.x)
    • Общие вопросы (по 3.0.x и 3.1.x)
    • Общие вопросы по устаревшим версиям
    • IP.Blog
    • IP.Gallery
    • IP.Downloads
    • IP.Content
    • IP.Nexus
    • Документация
    • Конвертирование
    • FAQ
  • Модифицирование
    • Модифицирование продуктов
    • Поддержка модификаций из архива
    • Дизайн и графика
    • Запрос на создание модификации
    • Модификации в разработке
  • Другие продукты и услуги
  • Форумы на других языках
  • Другое
    • Программирование
    • Хостинг
    • Оффтопик
    • Информационные технологии
  • Тех-форумы

Блоги

  • Тестовый блог
  • GPI's Блог
  • sM1Le's Блог
  • Hugo Weaving's Блог
  • Свободное слово
  • GiV'e it to me BaBY
  • sw04 blog
  • IP Blog
  • Borland_delphi_6's Блог
  • Сервак держится на четырех больших черепахах, которые питаются душами забаненных
  • vasyast пишет
  • AirKing's Блог
  • /dev/urandom
  • Hostem's bug
  • mylipetsk's Блог
  • Invision blog
  • PageMaster's Блог
  • Alvor's Блог
  • GrafDragon's Блог
  • Allure's Блог
  • Записки горшечника
  • GUNN's Блог
  • АIR0
  • -=MIF=-'s Блог
  • Anton S Soloviev Blog
  • WinC's Блог
  • Дневник программиста
  • sol's Блог
  • Vanek_MT's Блог
  • Scamp's Блог
  • [Artx5]'s Блог
  • Dvvarf's blog
  • kseny's Блог
  • maxi4u's Блог
  • Док's Блог
  • Блог
  • s-and's Блог
  • Nikolya
  • M-K's Блогнот
  • Roman Borisovich's Блог
  • NtMike's Блог
  • Сочи Блог : Sochi Blog
  • park's Блог
  • Dron Blog
  • Модификации IPB на заказ
  • Magicmedia's блог
  • ozersk's Блог
  • TESmods блог
  • Чердачок xRay'я
  • Jon06's Блог
  • Arqus' Блог
  • RaPl3r's Блог
  • Yama's Блог
  • groove_SQL's Блог
  • Спорт
  • IronMaster's Блог
  • nuclearman's Блог
  • xaber's Блог
  • Lazek's Блог
  • konstz91's Блог
  • oddangel's Блог
  • hil's Блог
  • GOT1
  • Олег «Sannis» Ефимов
  • numaster's Блог
  • bazhen's Блог
  • silenter's Блог
  • Крепость сожаления
  • cthu's Блог
  • NOIP's Блог
  • _Yana_
  • Saratoff-Life Blog
  • Hard_candy's Блог
  • jaxumi's Блог
  • Grins' Блог
  • proc: Anomaly
  • Модернизация VRPG
  • kuzka's Блог
  • Vadim903's Блог
  • Квэнди
  • Президент's Блог
  • Как мы ломали
  • ddvhouse's Блог
  • unixx's Блог
  • ViGOur's Блог
  • BoomerYA's Блог
  • First's Блог
  • Tomahawk's Блог
  • depresnyck's Блог
  • vkray's Блог
  • dallas' Блог
  • user226's Блог
  • bespechnaya333's Блог
  • Smartfon4er's Блог
  • POLICEXPERT
  • Обо всём понемногу.
  • anmakddt's Блог
  • ghenazmei's Блог
  • Интернет магазин для похудения и борьбы с целлюлитом
  • Rostov114's Блог
  • ovod's Блог
  • rejik's Блог
  • olegvs' Блог
  • lunux's Блог
  • Defender123's Блог
  • Форум знакомств
  • Tokarevs' Блог
  • vredina's Блог
  • John's Блог
  • ulaben's Блог
  • domovoy2's Блог
  • LuuR's Блог
  • Блог Гулько ЗлючкО
  • pank's Блог
  • akuzya's Блог
  • mumiya's Блог
  • eastimpex's Блог
  • BenZeR's Блог
  • magness
  • juvio's Блог
  • pivovoz's Блог
  • Zaya's Блог
  • Ravencool's Блог
  • levon's Блог
  • interbody.ru's Блог
  • Farkop's Блог
  • pkMIXER's Блог
  • Gucci Блог
  • ezik's Блог
  • rasetyplit's Блог
  • Elfet's Блог
  • anyba's Блог
  • d2222's Блог
  • Andrey Zentavr's Блог
  • mentolsoft's Блог
  • Dum spiro spero
  • Полезные скрипты для конвертации 2.3.6 > 3.0
  • Shin Akuma's Блог
  • Ancђita's Блог
  • Блог Юзера
  • ocharovanie's Блог
  • Unspoiled's Блог
  • Работы с IPB
  • KVentz's блог
  • Steve Fox
  • dtrex's Блог
  • studentlabinsk's Блог
  • Nadeshda's Блог
  • Dr_body's Блог
  • RealWorld's Блог
  • napoleon21's Блог
  • Зот Малахов (гитарист, композитор
  • foxicate's Блог
  • luna-luna's Блог
  • Свадебный бизнес моя мечта
  • 34V.sehost
  • Блог Миры Лирман
  • vimaster's Блог
  • baumansoft's Блог
  • Блог
  • Chacha's Блог
  • Спортивный блог
  • Reysler's блог
  • Баронеса's блог
  • MDmitry's блог
  • MDmitry's блог
  • Блог, мой блог...
  • Черного и белого, только не Горелова!
  • nikolay2's блог
  • nek2's блог
  • NATTO's блог
  • NATTO's блог
  • VOVER's блог
  • Пишу
  • vint1's блог
  • серж
  • ккк
  • Eliyagu - blog
  • Eliyagu's блог
  • Romp's блог
  • Я клиент IBR
  • Sheridan's блог
  • maxi4u's блог
  • maxi4u's блог
  • =M@X='s блог
  • CloseGL's тест блог
  • tj.anton
  • picapus' блог
  • Описание новых возможностей IP.Board 3.1
  • rapsody120's блог
  • slezinkka's блог
  • Silen
  • Pirs' блог
  • Костик Демидов's блог
  • kellas' блог
  • XoTTa6bI4_'s блог
  • greenjek's блог
  • injury87223's блог
  • cLauzz's блог
  • vania290's блог
  • Janke_Home's блог
  • odetta's блог
  • pops' блог
  • nickostyle's блог
  • makus' блог
  • Максим Антипенко's блог
  • test's блог
  • irina20052's блог
  • SH блог.
  • yurclub's блог
  • Yape's блог
  • DVD Soft
  • ste0phen's блог
  • kagorec's блог
  • Joel35's блог
  • algin's блог
  • shelessta's блог
  • Roggue
  • www.TraderGroup.ru
  • de_coder's блог
  • aig's блог
  • Из жж и вконтакте )
  • naladchik's блог
  • Офелия Картман's блог
  • Использование
  • Ошибки: =+)ъ|"][ и их исправление :-)
  • ~eXtreme~'s блог
  • alexeee's блог
  • Silent Assassin's блог
  • tomgame's блог
  • Массакр бензопилой
  • Ryo's блог
  • yakushin's блог
  • Asin's блог
  • ggggg's блог
  • Tails
  • sofi7666's блог
  • Worldoftanks Мир игр
  • zavorohin's блог
  • Иннокентий's блог
  • Oween's блог
  • forumlkj's блог
  • Новости от разработчиков IP.Board
  • Живые мысли.
  • Maksim Slesarev_89373's блог
  • Nikola12's блог
  • Aspen's блог
  • kazak11's блог
  • Марк_Минаков's блог
  • PONTA's блог
  • Highlight's блог
  • kernel.exe's блог
  • Оптина Пустынь's блог
  • sergay's блог
  • ElenaDuzh's блог
  • blog's
  • Дмитрий Николаев's блог
  • derbi's блог
  • alex ggg's блог
  • AndyBe's блог
  • SergeySV's блог
  • Николай Р
  • Оптина_Пустынь's блог
  • Дмитрий_Николаев's блог
  • Andrey0011's блог
  • v_narure_blog
  • Sh1ning's блог
  • IT
  • Всё для web-мастера...
  • ikea's блог
  • SenjaLp's блог
  • Senja's блог
  • Тестовый блог
  • profits' блог
  • yodas' блог
  • koha777's блог
  • t0rik's блог
  • razerw's блог
  • Блог команды AlterVega
  • markynem's блог
  • AlfOz's блог
  • Romzes24's блог
  • LandofYs.narod.ru
  • OxsanaKorona's блог
  • mishkalom's блог
  • zikadazo's блог
  • Olimnoz's блог
  • SirbuV's блог
  • crudman's блог
  • Марк_Королёв's блог
  • Gennadiy's блог
  • Delplel Blog
  • Алексей_Батурин's блог
  • antigsm's блог
  • bboyblaster's блог
  • Плагины от Smscoin
  • Dinar's блог
  • Syarexs' блог
  • instrumentariy's блог
  • saturn19 blog
  • booi's блог
  • jakki's блог
  • Мой блог
  • артемпапученко's блог
  • L-7's блог
  • Калиф Порния's блог
  • Сергей_Коваленко_127236's блог
  • test-blog
  • Inc.'s блог
  • NCsoft
  • Дима Кавун's блог
  • Инструкции
  • Teaminds_yandex's блог
  • Golemar's блог
  • dimamaster's блог
  • Maxim Petukhov's блог
  • Has
  • Сертификационный центр "Ростест Сибирь"
  • Шпаргалки
  • Интернет магазин одежды RusFashion.net
  • Блог Александра Санина
  • GURU.tm's блог
  • dvd-net.ukrainianforum.net's блог
  • Xolnewola's блог
  • GlobalLux - ремонт квартир Киев
  • Space Ball
  • Сергей Демьянов's блог
  • Мечтательница's блог
  • Nastiazavtra's блог
  • mediagroup's блог
  • MbokSukirman
  • rekanpoker
  • hotwebgames' блог
  • Situs Joker Dealer Online
  • Tangkas HKB
  • Casino Online Indonesia
  • Cara untuk Menang Slot Online
  • Олег Кузьмин
  • Syava's блог
  • Роман Сечин
  • Olivis' блог
  • test

Категории

  • Файлы
    • IP.Board 3.4.X
    • IP.Board 3.2.x
    • IP.Board 3.0.x-3.1.x
    • IP.Board 2.2.x-2.3.x
    • IP.Board 2.1.x
    • IP.Board 2.0.x
    • IP.Board 1.x.x
  • Модификации модулей
    • IP.Blog
    • IP.Gallery
    • IP.Downloads
    • IP.Content
    • IP.Nexus
  • Стили IP.Board
    • IP.Board 3.2.x
    • IP.Board 3.0.x-3.1.x
    • IP.Board 2.2.x-2.3.x
    • IP.Board 2.1.x
    • IP.Board 2.0.x
    • IP.Board 1.x.x
  • Языковые пакеты
    • IP.Board 3.2.x
    • IP.Board 3.0.x-3.1.x
    • IP.Board 2.2.x-2.3.x
    • IP.Board 2.1.x
    • IP.Board 2.0.x
    • IP.Board 1.x.x
    • IP.Board 3.4.x,
  • Графика для форумов
  • Community Resources
  • Модификации для IPB 4

Группы продуктов

  • Test
  • Готовый форум на базе IP.Board 3
  • Форум на базе InvisionPower Community Suite 4

Искать результаты в...

Искать результаты, которые...


Дата создания

  • Начать

    Конец


Последнее обновление

  • Начать

    Конец


Фильтр по количеству...

Зарегистрирован

  • Начать

    Конец


Группа


О себе


MSN


Заголовок


ICQ


Yahoo


Jabber


Skype


Город


Интересы

Найдено 16 результатов

  1. Компания-разработчик IP.Board InvisionPower Services обнаружила в IP.Board 3.4.x две проблемы безопасности: 1. В результате использования уязвимости пользователи без соответствующих прав могут выдавать предупреждения. 2. Пользователи форума могут получить определенную информацию о пользователе зная ID связанного с ним аккаунта Facebook. Чтобы устранить эту проблему, пожалуйста, загрузите этот патч и загрузите содержимое архива в корневую папку форума. Если у вас переименована папка админ-центра, то загрузите файлы из папки admin архива с патчем в вашу директорию админ-центра. Патч не затрагивает файлы локализации, пользователи русифицированных форумов версии 3.4.х могут использовать оригинальный патч от компании-разработчика. Обратите внимание, что с 1 апреля 2017 года компания-разработчик полностью прекращает поддержку IP.Board версии 3.х и прекратит выпуск патчей безопасности.
  2. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x, а также IP.Nexus 1.5.9. Патч закрывает потенциальную XSS уязвимость позволяющую запустить JavaScript через файл прикрепленный к сообщению и загруженный на сервер. Патч также закрывает уязвимость, позволявшую получить доступ к лицензионным ключам IP.Nexus с помощью специально составленного URL. Для оригинальной и русифицированной версий форума используйте патч из новости на официальном сайте компании InvisionPower. Для установки патча просто распакуйте архив в каталог форума или обратитесь к специалистам технической поддержки.
  3. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x. Патч закрывает потенциальную XSS уязвимость позволяющую изменять некоторые настройки профилей пользователей и личных сообщений с помощью специально составленного URL. Для локализованной версии форума следует использовать специальную, адаптированную версию патча. Как установить обновление. Загрузите один из приложенных к этой теме файлов, соответствующий версии вашего форума. Распакуйте архив и скопируйте папку admin архива в корневую папку вашего форума. Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки admin архива в папку админ-центра вашего форума. Для версии 3.4.х используйте patch_34x_04272015RUS.zip Для версии 3.3.х - patch_33x_04272015RUS.zip Для оригинальной версии форума используйте патч из новости на официальном сайте компании InvisionPower
  4. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x. Патч закрывает потенциальную уязвимость позволяющую вызвать ошибку SQL с помощью обращения по специально составленному URL. Для локализованной версии форума следует использовать специальную, адаптированную версию патча. Как установить обновление. Загрузите один из приложенных к этой теме файлов, соответствующий версии вашего форума. Распакуйте архив и скопируйте содержимое папки upload в корневую папку вашего форума. Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки upload/admin в папку админ-центра вашего форума. Для версии 3.3.х patch3122015_33RUS.zip Для версии 3.4.х patch3122015RUS.zip Для оригинальной версии форума используйте патч из новости на официальном сайте компании InvisionPower
  5. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x. Патч закрывает несколько потенциальных уязвимостей для XSS и CSRF-атак. В частности исправлена ошибка позволявшая изменить фотографию пользователя с помощью специальной ссылки, если использовался сервис gravatar а также отметить все личные сообщения прочитанными. Для локализованной версии форума следует использовать специальную, адаптированную версию патча. Как установить обновление. Загрузите один из приложенных к этой теме файлов, соответствующий версии вашего форума. Распакуйте архив и скопируйте содержимое папки upload в корневую папку вашего форума. Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки upload/admin в папку админ-центра вашего форума. Для версии 3.4.х patch_34x_Feb2015_RU.zip Для версии 3.3.х patch_33x_Feb2015_RU.zip Для оригинальной версии IP.Board используйте патч из новости на сайте invisionpower.com
  6. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x. Патч закрывает несколько потенциальных уязвимость системы личных сообщений для XSS-атак. Для локализованной версии форума следует использовать специальную, адаптированную версию патча. Как установить обновление.Загрузите один из приложенных к этой теме файлов, соответствующий версии вашего форума.Распакуйте архив и скопируйте содержимое папки upload в корневую папку вашего форума.Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки upload/admin в папку админ-центра вашего форума.Для версии 3.4.х patch12_5_2014RU.zipДля версии 3.3.х patch12_5_2014 - 3.3.xRU.zip Для оригинальной версии IP.Board используйте патч из новости на сайте invisionpower.com
  7. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x. Патч закрывает несколько потенциальных уязвимостей. Это обновление исправляет несколько ошибок, о которых пользователи сообщили разработчикам. Ошибки позволяли при определенных конфигурациях PHP провести SQL-инъекцию. Также устраняется ошибка в функции очистки e-mail, позволявшая отправить вложение через функции электронной почты. Для локализованной версии форума следует использовать специальную, адаптированную версию патча. Как установить обновление. Загрузите один из приложенных к этой теме файлов, соответствующий версии вашего форума. Распакуйте архив и скопируйте содержимое папки upload в корневую папку вашего форума. Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки upload/admin в папку админ-центра вашего форума. Для версии 3.3.х 3_3_x_patch_nov_14_ru.zip Для версии 3.4.х 3_4_x_patch_nov_14_ru.zip
  8. Обнаружена уязвимость в интерпретаторе bash, которая позволяет выполнять произвольный код на уязвимом сервере. Уязвимости подвержено большинство linux-систем и 2/3 всех интернет-сайтов. Чтобы проверить свой сервер на наличие уязвимости подключитесь по ssh и выполните следующую команду: env X="() { :;} ; echo busted" /bin/bash -c "echo stuff" Если будет выведено busted stuff значит ваш сервер уязвим. Если только stuff, то уязвимость закрыта. Для исправления уязвимости необходимого обновить bash до последней версии. Для Debian apt-get update apt-get install bash Для RH/CentOS: yum update bash
  9. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x. Патч закрывает несколько потенциальных уязвимостей. Это обновление исправляет несколько ошибок, о которых пользователи сообщили разработчикам. Это ошибки в модуле опросов, системе обмена ссылками для соц.сетей, подсистеме загрузки файлов на сервер и компоненте IP.Chat. Для локализованной версии форума следует использовать специальную, адаптированную версию патча. Как установить обновление. Загрузите один из приложенных к этой теме файлов, соответствующий версии вашего форума. Распакуйте архив и скопируйте содержимое папки upload в корневую папку вашего форума. Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки upload/admin в папку админ-центра вашего форума. Архив для версии IP.Board 3.3.x:3_3_x_sept_14RUS.zip Архив для версии IP.Board 3.4.x:3_4_x_Sept_14RUS.zip Тема на форуме Invision Power и патч для английской версии.
  10. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Content 2.3.x. Патч закрывает потенциальную уязвимость в системе поиска. В ходе проверки на безопасность системы поиска IP.Content 2.3.6 была обнаружена потенциальная уязвимость. Хоть уязвимость имеет теоретический характер, компания-разработчик посчитала необходимым выпустить исправление для предотвращения возможных проблем в будущем. Патч не затрагивает локализацию IP.Content от IBResource. Для русифицированной версии компонента можно использовать оригинальные файлы с сайта invisionpower.com Как установить обновление. Загрузите приложенный к этой теме файл. Распакуйте архив и скопируйте содержимое папки upload в корневую папку вашего форума. Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки upload/admin в папку админ-центра вашего форума. ip_content_patch_july_2014.zip Тема на форуме Invision Power.
  11. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x и IP.Nexus 1.5.x. Патч закрывает три недавно опубликованные уязвимости, позволяющие произвести включение вредоносного кода и одну XSS(cross site scripting) уязвимость. Недавно в ряде файлов IP.Board, предназначенных для запуска из командной строки, была обнаружена уязвимость. Это позволяло загрузить и исполнить сторонний скрипт на сервере с определенной конфигурацией PHP . Разработчики из Invision Power Services поспешили выпустить патч, устраняющий эту уязвимость. Также было обнаружена проблема приводящая к возможности обманным путем перенаправить пользователя на страницу с XSS вложением. Патч устраняет и эту проблему. Для локализованной версии форума следует использовать специальную, адаптированную версию патча. Как установить обновление. Загрузите один из приложенных к этой теме файлов, соответствующий версии вашего форума. Распакуйте архив и скопируйте содержимое папки upload в корневую папку вашего форума. Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки upload/admin в папку админ-центра вашего форума. Архив для версии IP.Board 3.3.x:3.3.xR.zip Архив для версии IP.Board 3.4.x:3.4.xR.zip Тема на форуме Invision Power и патч для английской версии.
  12. Invision Power Services сообщает о выпуске обновления системы безопасности для IP.Board 3.3.x и 3.4.x . Патч закрывает три недавно опубликованные уязвимости, позволяющие провести XSS(cross site scripting) атаку. IP.Board takes precaution against cross site scripting issues by ensuring sensitive forms and buttons have a unique key in them and also by ensuring that sensitive cookie data is not readable by JavaScript. However, we feel that it is in our clients' best interest to have these issues resolved. IP.Board принимает меры предосторожности против проблемы межсайтового выполнения сценариев посредством подписывания конфиденциальных форм и кнопок уникальным ключем, а также путем предотвращения доступа javascript к важным данным в cookie. Тем не менее, IPS считает, что дополнительная защита от xss-атак всегда в интересах клиентов. Для локализованной версии форума следует использовать специальную, адаптированную версию патча. Как установить обновление. Загрузите один из приложенных к этой теме файлов, соответствующий версии вашего форума. Распакуйте архив и скопируйте содержимое папки upload в корневую папку вашего форума. Если у вас изменено имя папки админ-центра, то скопируйте содержимое папки upload/admin в папку админ-центра вашего форума. Архив для версии IP.Board 3.3.x: ipb_33_patch_ru.zip Архив для версии IP.Board 3.4.x: ipb_34_patch_ru.zip Оригинальная новость и файлы патча для оригинальной версии форума.
  13. Компания IBResource объявляет о выходе критического обновления безопасности для IP.Board 3.3.x, 3.4.x. Недавно разработчиками была обнаружена потенциальная уязвимость, которую рекомендуется устранить всем без исключения форумам ipb линеек 3.3.x-3.4.x. Версиям до 3.3 рекомендуется обновиться до последних версий, обновлений безопасности для них выпущено не было. Ниже представлены адаптированные патчи для русских версий. В архиве указана папка admin, как директория админ-центра по умолчанию. Если у вас на форуме папка админ-центра изменена, загружайте содержимое папки admin в соответствующую директорию... Или обратитесь в техническую поддержку, вам помогут установить патч. ipb33_patch_dec_13_rus.zip ipb34_patch_dec_13_rus.zip
  14. Компания InvisionPower опубликовала обновление для версий IP.Board 3.3.x и 3.4.х решающий проблему безопасности внешней библиотеки "Flowplayer", используемого при обработке загруженного медиа. Библиотека плеера flowplayer используется в IP.Gallery и в некоторых процедурах редактора сообщений. Патч не затрагивает файлы локализации и может быть установлен с сайта компании-разработчика без изменений. Патч для форумов IP.Board версии 3.4.х и IP.Gallery 5.0.x: ipb3_4_and_gallery_5_0-9-13-2013.zip Патч для форумов IP.Board 3.3.x без модуля IP.Gallery или с модулем IP.Gallery 5.0.x: ipb3_3_and_gallery_5_0-9-13-2013.zip Патч для форумов IP.Board 3.3.x с модулем IP.Gallery 4.2.x: ipb3_3_and_gallery_4_2-9-13-2013.zip Для установки патча скопируйте содержимое папки upload из архива в корневую папку форума с заменой файлов. Если у вас используется нестандартное имя папки admin, то не забудьте, что содержимое папки upload/admin архива нужно скопировать именно в вашу папку админ-центра. Ссылка на оригинальную новость: http://community.invisionpower.com/topic/393888-ipboard-33x-34x-and-ipgallery-42x-50x-security-update/
  15. Компания InvisionPowerServices выпустила патч безопасности для версии IP.Board 3.4.х. Патч исправляет уязвимость в сторонней библиотеке Minify. Обновление не затрагивает файлы локализации, поэтому можно воспользоваться оригинальной версией патча. Скачать патч и ознакомится с информацией на английском языке можно здесь. Для установки патча распакуйте содержимое папки minify_patch_07_13 из архива в корневую папку форума. Можно просто добавить следующий код в файл public/min/config.php сразу после <?php /** * Configuration for default Minify application * @package Minify */ foreach( $_GET as $k => $v ) { $_GET[ $k ] = str_replace( chr(0), '', $v ); } foreach( $_REQUEST as $k => $v ) { $_REQUEST[ $k ] = str_replace( chr(0), '', $v ); }
  16. Надежная защита от распространенных хакерских атак крайне важная характеристика современного продукта, тем более если продукт предназначен для использования в достаточно агрессивной среде, такой, как Интернет. При разработке продукта мы учитывали основные возможные направления атак: SQL/Code Injection, XSS, CSRF. Также мы постарались проработать политику безопасности и в самой системе. Сначала о политике безопасности: уникальная связка для авторизации в системе: email + пароль. Email, не публикуется системой, таким образом имеется два неизвестных ключа, в отличие от связки: login + пароль, где зачастую login отображается системой; пароли в системе не короче 6 символов, при регистрации имеется подсказка о сложности вводимого пароля, позволяющая пользователю оценить надежность пароля; изменение email и пароля должно подтверждаться вводом текущего пароля; сессия пользователя привязывается к его IP и браузеру; максимальное количество одновременных авторизаций ограничено 1 авторизацией; AlterVega реализует ролевую систему прав, реализация выделена в отдельный компонент, который используется всеми остальными компонентами приложения для работы с правами пользователя; принятые соглашения по работе с внешними данными для команды разработчиков продукта. Последний пункт направлен на противодействие основным направлениям атак. Защита от SQL/Code Injection Работа с внешними данными через глобальные массивы запрещена. Вместо этого разработчик получает удобный объект для получения данных из запроса. Объект обладает рядом методов, позволяющих проверить (validate) и/или привести (filter) входные данные к нужному типу (число, строка, email, дата и т.п.). Внутри компонентов AlterVega работа с внешними данными ведется только через этот объект. Вот так, например, выглядит код начала действия получения информации о профиле пользователя: // в этом блоке проверяется, что сделан AJAX запрос // при любом другом типе запроса, система его отклонит if( !$this->_request->isAjaxRequest() ) { throw new jE_Http_Exception( jE::translate( 'user' )->{'Страница не найдена'}, 404 ); } // в этой строчке получаются входные данные из запроса, отправленного методом POST $ids = explode( '_', $this->_request->post->getString( 'ids', '' )); // а здесь на эти данные накладывается фильтр (массив с целыми числами) $ids = jE_Filter_Intarray::filter( $ids ); // обработанные данные отдаются в сервис, который строит необходимые запросы // и возвращает данные для отображения $statuses = $this->_user_service->getUsersStatus( $ids ); Помимо приведения к основным типам все входные данные проверяются на соответствие установленным настройками системы лимитам. Процесс более глубокой проверки также унифицирован и используется разработчиками повсеместно. Вот пример кода, отвечающего за регистрацию нового пользователя: // создается объект формы, которая знает каким образом // должна осуществлятся валидация данных, необходимых для // создания сущности пользователя $form = new User_Form_Register; if( $this->_request->isPost() ) { // объект формы заполняется данными $form->fill( $this->_request->post ); // производится запуск всех валидаторов формы // которые проверяют данные из HTML-формы if( $form->isValid() ) { try { // осуществляется попытка создания пользователя // с использование уже проверенных данных $user = $this->_user_service->create( array ( 'email' => $form->email->getValue(), 'name' => $form->name->getValue(), 'password' => $form->password->getValue(), ) ); } catch( Exception $e ) { $form->addProcessingError( jE::translate( 'user' ) ->{'Не удалось создать пользователя'} ); } } } Для составления SQL запросов используется встроенное, развиваемое расширение PHP - PDO. В нашей системе используется механизм подготовленных запросов с подстановкой переменных в запрос с указанием их типа. Защита от XSS При разработке шаблонов представления приложения нами были приняты следующие правила: Правило 0: пользовательские данные можно вставлять только в разрешенных местах шаблона Пользовательские данные можно вставлять только согласно правилам 1-3, запрещено <script>...НЕЛЬЗЯ...</script> внутри описания скрипта <!--...НЕЛЬЗЯ...--> внутри комментария <div ...НЕЛЬЗЯ...=value /> в имени аттрибута тега <НЕЛЬЗЯ... href="/uri" /> в имени тега <style>...НЕЛЬЗЯ...</style> внутри описания CSS Правило 1: делать HTML escape прежде чем вставлять пользовательские данные в тело HTML тега Правило 2: делать JavaScript escape прежде чем вставлять пользовательские данные в значения переменных JavaScript Правило 3: там где данные подразумевают наличие HTML, делать санитаризацию таких данных Санитаризацию мы стараемся делать как на стороне клиента, так и на сервере. HTML Sanitaizer у нас рабоает по принципу белого списка, в нем разрешены только определенные теги, определенные аттрибуты у тегов и определенные значения этих аттрибутов. Все остальное считается некорректным вводом и удаляется. Правило 4: использовать HTTPOnly флаг для cookie Методики воздействия XSS совершенны до тех пор, пока не находится новый вектор атаки неизвестный до настоящего времени. Поэтому чтобы снизить ущерб от неизвестных XSS AlterVega использует защищенные cookie. Данные cookie не доступны из JavaScript и поэтому не могут быть перехвачены в результате XSS-атаки. Защита от CSRF Все "опасные" действия, изменяющие состояние пользовательского профиля, контента и т.п. мы осуществляем только методом POST с передачей уникального для каждого пользователя token'а, который проверяется на стороне сервера при выполнении "опасной" операции. По аналогичной методике сделана защита при авторизации через социальные сервисы, что предотвращает возможность подделки процесса авторизации одного пользователя другим. Аудит Принятие соглашений и внедрение методик в разработку не имело бы эффективности, если бы не постоянное code review новой функциональности, а так же периодических автоматизированных проверок продукта. При code review разработчики стараются находить ошибки, отступления от принятых правил в коде коллег, благодаря чему осуществляется аудит кода. А при помощи сканеров безопасности мы осуществляем автоматизированные проверки, что позволяет контролировать целостность защиты после добавления новых возможностей в систему.
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.