nafigator Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 От этого есть что нить http://damagelab.org/index.php?showtopic=5...indpost&p=22354<{POST_SNAPBACK}> Автор заявляет, что Способов устранения уязвимости пока нет. Бага присутствует во всех версиях, включая всю динейку 2.1.х Первая дырка в 2.1.2?Или всё же в ИЕ? Ссылка на комментарий Поделиться на других сайтах Прочее
Armis Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Вроде нашел решение, конечно на форумах, где постят много кодов скриптов это не очень удачное решение, но все же... Создаем фильтр мата и вписываемbackground = backgr__ound - Точный cookie = coo__kie - Точный document = docu__ment - Точный images = ima__ges - Точный javascript = ja__vasc__ript - Точный Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Вроде нашел решение, конечно на форумах, где постят много кодов скриптов это не очень удачное решение, но все же... Создаем фильтр мата и вписываемbackground = backgr__ound - Точный cookie = coo__kie - Точный document = docu__ment - Точный images = ima__ges - Точный javascript = ja__vasc__ript - Точный<{POST_SNAPBACK}>Забавно, хоть и криво... От многих XSS лечит...А в виде "%64%6F%63%75%6D%65%6E%74" он слово document отфильтрует? Ссылка на комментарий Поделиться на других сайтах Прочее
Armis Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 к сожалению нет... но можно ключевые слова и в таком виде прописать "%64%6F%63%75%6D%65%6E%74" Ссылка на комментарий Поделиться на других сайтах Прочее
PRYANIK Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Armis, можно сделать гораздо проще, просто убрать эти тэги из админки... Ссылка на комментарий Поделиться на других сайтах Прочее
Armis Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 PRYANIK, а поподробнее можно, что-то не понял вас... Ссылка на комментарий Поделиться на других сайтах Прочее
PRYANIK Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Админцентр => BB-тэги => Управление BB-тэгами: Дальше:Topic Link [topic={option}]{content}[/topic] - удаляем или изменяем (если тэг нужен) Post Link [post={option}]{content}[/post] - удаляем или изменяем (если тэг нужен) Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Админцентр => BB-тэги => Управление BB-тэгами: Дальше:Topic Link [topic={option}]{content}[/topic] - удаляем или изменяем (если тэг нужен) Post Link [post={option}]{content}[/post] - удаляем или изменяем (если тэг нужен)<{POST_SNAPBACK}>Есть мнение, что тогда можно заюзать любые другие дополнительные тэги вида [нечто={option}]{content}[/нечто] - у них же один и тот же парсер. Ссылка на комментарий Поделиться на других сайтах Прочее
PRYANIK Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Есть мнение, что тогда можно заюзать любые другие дополнительные тэги вида Код[нечто={option}]{content}[/нечто]- у них же один и тот же парсер.Скорее всего так, но по умолчанию в IPB больше нет такого вида тэгов. То что Вы могли сделать сами (доп. тэги), врятли их подберут ... Да и решение временное, уж лучше чем всех гнать на Оперу (хоть и сам постоянно на ней .) Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Да уж, здравствуйте. Подбирать и не требуется http://www.ibresource.ru/forums/index.php?...nds&CODE=bbcodeЛинк "Помощь по BB кодам форума" в полной форме ответа. А дополнительных тэгов других действительно нет. Ссылка на комментарий Поделиться на других сайтах Прочее
PRYANIK Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Пардон за оффтопДа уж, здравствуйте. Подбирать и не требуетсяВо оно как, честно скажу не знал ! Ссылка на комментарий Поделиться на других сайтах Прочее
sanches36 Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Вообщем выход значит есть. Если я правильно понял, надо удалить или изменить тэги Ссылка на комментарий Поделиться на других сайтах Прочее
SHiSH Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 эта дырка есть в 1,3,1? если да то как можно залатать? Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Ты про какую дырку то? Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 эта дырка есть в 1,3,1? если да то как можно залатать? <{POST_SNAPBACK}>Вряд ли есть - там дополнительные тэги добавляются только вручную... Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Так какой извините на данный момент метод оптимальный для версии 2.04 ? Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Вообщем выход значит есть. Если я правильно понял, надо удалить или изменить тэги<{POST_SNAPBACK}>Удалить. Или изменить парсер...Но пока не знаю как Ссылка на комментарий Поделиться на других сайтах Прочее
sanches36 Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Я так понял удаление тэгов post и topic.И еще, как думаете, если поставить мод на отключение ссылок на сторонние ресурсы, поможет? Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Вроде нашел решение, конечно на форумах, где постят много кодов скриптов это не очень удачное решение, но все же... Создаем фильтр мата и вписываемbackground = backgr__ound - Точный cookie = coo__kie - Точный document = docu__ment - Точный images = ima__ges - Точный javascript = ja__vasc__ript - Точный<{POST_SNAPBACK}> У меня ресурс мобильной тематики, коды у мменя на форуме никто не пишет.Тоесть если я создам мат фильтр и все это туда добавлю. То в какой то степени мне будет счастье? Ссылка на комментарий Поделиться на других сайтах Прочее
yarweb Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 *SHADOW*, если кодами не пользуются, не нужно создавать мат фильтр, достаточно просто отключить их в админке. Ссылка на комментарий Поделиться на других сайтах Прочее
sanches36 Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Вобщем я удалил эти тэги, добавил мат. фильтр, отключил ссылки на сторонние ресурсы. Надеюсь обезопасил себя немного Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 А в какой вкладке их отключать? В ББ кодах у меня нету этих кодов.Зарание спасибо. Ссылка на комментарий Поделиться на других сайтах Прочее
sanches36 Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 и Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Эти тэги я удалил.А можно подробнее о ссылках на стороние ресурсы. Ссылка на комментарий Поделиться на других сайтах Прочее
sanches36 Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Где-то здесь былоВот держи Отключаем прямые ссылки на стороние ресурсы. Авторы: MiXoiD, Song, Val14. в файле в файле /sources/lib/post_parser.php: Найти Код function regex_build_url($url=array()) { global $DB; $skip_it = 0; После вставить: Код if (!stristr($url['html'], "hostname")) { if (!stristr($url['html'], $url['show'])) { return $url['st']. " <b> " .$url['show']. " </b> "."=>". " [color="blue"] ". $url['html']. " [/color] ". $url['end']; } else { return $url['st']. " [color="blue"] ".$url['html']." [/color] ".$url['end']; } } где "hostname" д.б. без http:// напр. mixoid.net Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения