GiV Опубликовано 23 Июля 2005 Жалоба Поделиться Опубликовано 23 Июля 2005 скобка там лишняя в конце была. Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 23 Июля 2005 Жалоба Поделиться Опубликовано 23 Июля 2005 Да.. гадкая бага оказалась..наверняка не в одном скиновом файле есть уязвимость. Ссылка на комментарий Поделиться на других сайтах Прочее
AngelBoY Опубликовано 25 Июля 2005 Жалоба Поделиться Опубликовано 25 Июля 2005 кто то поставил на маем форуме аватар и тот ето прочтет его пост cookie будут у него сначала не поверил потом этот парен зашел в админку под моим ником сейчас я отклячил аватар к всех как я могу предвратит это подругому Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 25 Июля 2005 Жалоба Поделиться Опубликовано 25 Июля 2005 как я могу предвратит это подругомуПрочитать тему, конечно. Здесь есть фикс этой уязвимости. Ссылка на комментарий Поделиться на других сайтах Прочее
Dekker Опубликовано 25 Июля 2005 Жалоба Поделиться Опубликовано 25 Июля 2005 [iPB 1.3.x и 2.0.x] Обновление безопасности Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 26 Июля 2005 Жалоба Поделиться Опубликовано 26 Июля 2005 В таблице ibf_members есть поле legacy_password, которое содержит md5() от пароля - это по всей видимости пережиток конвертации с 1.3.х линейки. Посмотрела исходники, нигде никаких обращений к этому полю я не нашла (только создание поля в инсталлере). Могу я его занулить от греха подальше? А то мало ли какая инъекция - все слишком просто. Ссылка на комментарий Поделиться на других сайтах Прочее
kolorom Опубликовано 26 Июля 2005 Жалоба Поделиться Опубликовано 26 Июля 2005 Специально для Anna _http://docs.invisionpower.com/kb/article.php?id=194 Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 27 Июля 2005 Жалоба Поделиться Опубликовано 27 Июля 2005 Мне кажется, что это не совсем ответ на мой вопрос. Как происходит авторизация, я и так знаю. Меня волнует поле legacy_password, о котором по вышеупомянутой ссылке не сказано ни слова.Соответственно можно ли его зануллить? Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 27 Июля 2005 Жалоба Поделиться Опубликовано 27 Июля 2005 Насколько я помню, это поле нужно для пользователей, сконвертированных с версии 1.* - их хэши пишутся в это поле.Если у вас изначально стоял 2.*, то это поле не нужно. PS А чего вы опасаетесь, если не секрет? Эти поля ведь пустые... Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 27 Июля 2005 Жалоба Поделиться Опубликовано 27 Июля 2005 Нет. У меня они не пустые. У меня конвертенный форум с 1.3 до 2.0. Часть старых пользователей, что регилось когда была 1.3 имеют в этих полях мд5 от их пароля - это сликшом легко расшифровать, вот я и пытаюсь выяснить могу ли я там все занулить. Ссылка на комментарий Поделиться на других сайтах Прочее
d1pro Опубликовано 27 Июля 2005 Жалоба Поделиться Опубликовано 27 Июля 2005 AnnaВсегда ведь можно проверить на локале Ссылка на комментарий Поделиться на других сайтах Прочее
SAT Опубликовано 28 Июля 2005 Жалоба Поделиться Опубликовано 28 Июля 2005 хм... неприятным открытием для меня стало то что модератор не имея админ панели, а имея все лишь warn панель может разбанить пользователя, один забанил другой разбанил не дело.... кому надо можете профиксить./sources/misc/warn.phpнаходим if ( ! $this->warn_member['id'] ) { $std->Error( array( LEVEL => 1, MSG => 'no_such_user') ); } добавляем после if ( strlen($this->warn_member['temp_ban']) > 1 ) { $std->Error( array( LEVEL => '1', MSG => 'banned_mem') ); } и в языки добавляем текст ошибки/lang/*/lang_error.php добавляем $lang['banned_mem'] = "Этому пользователю сейчас невозможно изменить рейтинг. Участник на данный момент забанен."; Ссылка на комментарий Поделиться на других сайтах Прочее
X@MиЛь Опубликовано 29 Июля 2005 Жалоба Поделиться Опубликовано 29 Июля 2005 GiVЯ перелопатил все обновления и заплатки для 2.0.х и совместил их в один файл. Помоему очень хорошую вешь сдел. Типа патча безопасности Тока вот незнаю всё ли там. Надо с тобой связаться, мне а поскольку у тебя в подписи написано "на ПМ не отвечаю", то подскажи пожалуйста как это сделать... Ссылка на комментарий Поделиться на других сайтах Прочее
inK Опубликовано 29 Июля 2005 Жалоба Поделиться Опубликовано 29 Июля 2005 Срочно!!! Мегатрабл!!! v. 2.0.4. Когда юзвери заходят на форум (при этом у них куксы форум уже есть) они заходят под чужим (!!!) уже авторизованным акком. Конешн не всегда такое случается, но все же... Попроси хостера отключить кеширование. Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 29 Июля 2005 Жалоба Поделиться Опубликовано 29 Июля 2005 inK, а проксиком они не пользуются? Который соответственно и выдаёт последнюю загруженную страницу вместе реальной? Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 29 Июля 2005 Жалоба Поделиться Опубликовано 29 Июля 2005 GiVЯ перелопатил все обновления и заплатки для 2.0.х и совместил их в один файл. Помоему очень хорошую вешь сдел. Типа патча безопасности Тока вот незнаю всё ли там. Надо с тобой связаться, мне а поскольку у тебя в подписи написано "на ПМ не отвечаю", то подскажи пожалуйста как это сделать... <{POST_SNAPBACK}>по таким вопросам я отвечаю. Ссылка на комментарий Поделиться на других сайтах Прочее
X@MиЛь Опубликовано 31 Июля 2005 Жалоба Поделиться Опубликовано 31 Июля 2005 GiVя тебе скинул масагу. кстати напиши как тебе можно сам файл скинуть... Ссылка на комментарий Поделиться на других сайтах Прочее
Aiwan Опубликовано 3 Августа 2005 Жалоба Поделиться Опубликовано 3 Августа 2005 X: Aiwan, нашел следы взлома?Aiwan: сдохли все посты одного форумаAiwan: в логах нет...X: А в логах нет - я использовал атаку CSSX: CSS - куки подменил за 3 минутыAiwan: и это не лечится?Х: нет!Х: все IPB ниже 2.0.4Объясните мне, что мне надо пропатчить? Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 3 Августа 2005 Жалоба Поделиться Опубликовано 3 Августа 2005 Юзай eye patch. Или вот ещё есть темка: Исправление уязвимостей форумов Ссылка на комментарий Поделиться на других сайтах Прочее
Aiwan Опубликовано 3 Августа 2005 Жалоба Поделиться Опубликовано 3 Августа 2005 Стоит все.[1123088051:1123088102]А что за патч такой? Можно ссылку? Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 4 Августа 2005 Жалоба Поделиться Опубликовано 4 Августа 2005 Стоит все.Видимо не всё, раз тебя взломали. А что за патч такой? Можно ссылку?Модераторы пропишут. Если поиском не будешь пользоваться. Ссылка на комментарий Поделиться на других сайтах Прочее
-co- Опубликовано 10 Августа 2005 Жалоба Поделиться Опубликовано 10 Августа 2005 http://www.securityfocus.com/archive/1/407471 есть ли патч? Ссылка на комментарий Поделиться на других сайтах Прочее
d1pro Опубликовано 10 Августа 2005 Жалоба Поделиться Опубликовано 10 Августа 2005 ИМХО фигня, ну сработает оно и что? Заполучить данные из форума не получится же. Они же на другой странице объявлены... Ссылка на комментарий Поделиться на других сайтах Прочее
Joker Опубликовано 11 Августа 2005 Жалоба Поделиться Опубликовано 11 Августа 2005 Кстати вопрос к локализаторам, т.е. к русской команде, поддерживающей и продающей форум. Вот все эти дыры и уязвимости фиксятся в дистрибутиве форума?Или пока IPS не выпускает очередную версию или патч, все так и остается? т.е. сам ищи и исправляй? Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 11 Августа 2005 Жалоба Поделиться Опубликовано 11 Августа 2005 ИМХО фигня, ну сработает оно и что? Заполучить данные из форума не получится же. Они же на другой странице объявлены...<{POST_SNAPBACK}> А пользовательские куки (те что от форума) на это странице будут недоступны разве? Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения