ImUgh Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Хм, откуда такие выводы?Да так, личные опыты + ответы людей в этом форуме От каких настроек зависит?Абслоютно без понятия.От каких-то настроек безопасности, очевидно ....... Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Хм, откуда такие выводы?Да так, личные опыты + ответы людей в этом форуме От каких настроек зависит?Абслоютно без понятия.От каких-то настроек безопасности, очевидно .......<{POST_SNAPBACK}> Вы заблуждаетесь. Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 От каких настроек зависит?<{POST_SNAPBACK}>от того включен или нет параметр magic_quotes_gpc Ссылка на комментарий Поделиться на других сайтах Прочее
MiXoiD Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Vicer, ну а если отключить magic_quotes_gpc.Насколько Форуму хуже станет?! Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Не думаю, что безопасность хорошего скрипта должна зависеть от параметров интерпретатора. Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Vicer, ну а если отключить magic_quotes_gpc.Насколько Форуму хуже станет?!<{POST_SNAPBACK}> Хуже не станет Не думаю, что безопасность хорошего скрипта должна зависеть от параметров интерпретатора. Любая система зависит от внешних параметров, и чем она сложнее, тем зависимее. Ссылка на комментарий Поделиться на других сайтах Прочее
MiXoiD Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Ок. Тогда отключаю.Если что-то заглючит сообщу. Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Любая система зависит от внешних параметров, и чем она сложнее, тем зависимее.2.0.4 от этого не страдает, так что не надо ля-ля Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Еще можна проверять на наличие только алфавитно-цифровых символов например, так: $pid = (!preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):""; Что скажете?<{POST_SNAPBACK}> А это не повлияет на вход если у некоторых имена на кирилице? Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Нет. Пароли-то не на кириллице Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 ааатак это к паролям относиться? а есть же народ который и на кирилице пароли наберает Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 пароли в куках хранятся в MD5 хеше, а он представляет собой 32х символьную алфавитно-цифровую последовательность, без пробелов, кавычек и всяких других символов, а значит... )))) зачем нам давать возможность что-либо туда подставлять... Ссылка на комментарий Поделиться на других сайтах Прочее
-winux- Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Давайте лучше обсудим как багу закрыть. Как ломать я уже знаю. Ссылка на комментарий Поделиться на других сайтах Прочее
ImUgh Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 -winux-уже закрылиУязвимости форумов Invision Power Board оно же - тремя постами выше! Ссылка на комментарий Поделиться на других сайтах Прочее
-winux- Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Так скажите что сделать надо?У меня 2.0.4 и баг открыт! Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Млин, я только что втыкнул, какую я оопечатку здесь допустил Это правильно $pid = $std->my_getcookie('pass_hash'); меняем на $pid = (strlen(trim($std->my_getcookie('pass_hash')))==32)?$std->my_getcookie('pass_hash'):""; а в таком варианте не $pid = (!preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):""; так как автологин вообще отключится, а $pid = (preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):""; извините, не бейте сильно, хотя, судя по отсутствию комментов использовали в основном первый вариант Ссылка на комментарий Поделиться на других сайтах Прочее
ImUgh Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Vicerна самом деле, просто никто не пользуется автологином в том смысле, что данный фикс (а соответсвенно и баг) относится к случаю, когда идет запрос типаindex.php?act=Login&CODE=autologin на самом деле этот запрос вообще не нужен - при заходе на любую страницу форум тебя авторизует по кукам и без вызова этого автологина просто через functions.php -> authorise() вот так ЗЫ А запросы с act=Login&CODE=autologin используются только после регистрации или подтверждения емайл юзера.из-за такой мелочи (фактически ненужной) - такая "шикарная" уязвимость Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Vicerтак что!? $pid = (!preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):"";этот вариант можно не использовать!?я выбрал первый.так всё? баг закрыт получается? ImUghеще разможно? я не совсем врубился...как отключить автологин? или же он включается только когда регистрируется?спасибо Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 18 Мая 2005 Жалоба Поделиться Опубликовано 18 Мая 2005 Vicerтак что!? $pid = (!preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):"";этот вариант можно не использовать!?я выбрал первый.так всё? баг закрыт получается?<{POST_SNAPBACK}> Если первый, то закрыт, если второй, который в предыдущем посте, с попроавкой, $pid = (preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):""; то тоже закрыт. и там тем более ни при каких случаях не пролезут Ссылка на комментарий Поделиться на других сайтах Прочее
seba Опубликовано 19 Мая 2005 Жалоба Поделиться Опубликовано 19 Мая 2005 2Vicerа как насчет вотэтих слов:>>Понимаю, что временная заплата, но уж лучше, чем к утру потерять форум т.е. есть еще теоретически лазейка? Ну и вот еще задачка:18 мая 2005 Межсайтовый скриптинг при обработке utf-7 кодировки в различных форумах Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей. Программа: vBulletin, Invision Power Board, Phorum, Web Wiz и другие форумы Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей. Уязвимость существует при установленном автоматическом выборе кодировки в браузере. Удаленный пользователь может обойти правила фильтрации потенциально опасных символов в различных форумах, сохранив злонамеренный HTML код в кодировке utf-7 и выполнить его в браузере жертвы в контексте безопасности уязвимого сайта. Пример: <title>vBulletin Community Forum - +ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-</title> Решение: Способов устранения уязвимости не существует в настоящее время. securitylab.ru Ссылка на комментарий Поделиться на других сайтах Прочее
ImUgh Опубликовано 19 Мая 2005 Жалоба Поделиться Опубликовано 19 Мая 2005 dfc_darkman еще раз можно? я не совсем врубился...как отключить автологин? или же он включается только когда регистрируется?спасибоне надо ничего отключать я говорил, что запрос с автологинм используется только после регистрации.поэтому ошибку во втором варианте заплатке от Vicer никто и не заметил. Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 19 Мая 2005 Жалоба Поделиться Опубликовано 19 Мая 2005 ImUghokthanks Ссылка на комментарий Поделиться на других сайтах Прочее
Dekker Опубликовано 19 Мая 2005 Жалоба Поделиться Опубликовано 19 Мая 2005 запутали, приведите окончательный вариант и подпишитесь "Verify мин нет" Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 19 Мая 2005 Жалоба Поделиться Опубликовано 19 Мая 2005 Verify мин нет в sources/Login.php $pid = $std->my_getcookie('pass_hash'); меняем на $pid = (preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):""; Ссылка на комментарий Поделиться на других сайтах Прочее
SplideX Опубликовано 20 Мая 2005 Жалоба Поделиться Опубликовано 20 Мая 2005 Verify мин нет в sources/Login.php $pid = $std->my_getcookie('pass_hash'); меняем на $pid = (preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):"";<{POST_SNAPBACK}>на 1.3 всё равно хачится. Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения