Перейти к контенту

Уязвимости форумов Invision Power Board

Terabyte

Автор: Terabyte,
в FAQ

 Поделиться

Рекомендуемые сообщения

Sannis

Sannis

Опубликовано
Опубликовано
Или болия жестокий

<?php
$filename = "C:\WINDOWS\explorer.exe";
unlink ($filename);
?>

Ну второй это токо для виндовс :)

И состандартным путем

;):):)

Решили пошутить? В курсе, что php код на сервере выполняется? Так что хакеру ничего страшного php сделать не может, а вот если у хостера админы плохие или у вас собственный сервер... :D

Ссылка на комментарий
Поделиться на других сайтах
  • Ответы 1,2k
  • Создана
  • Последний ответ

Лучшие авторы в этой теме

Дни популярности

Лучшие авторы в этой теме

Дни популярности

Загружено фотографий

U-N-O

U-N-O

Опубликовано
Опубликовано
Или болия жестокий

<?php
$filename = "C:\WINDOWS\explorer.exe";
unlink ($filename);
?>

Ну второй это токо для виндовс :)

И состандартным путем

;):):)

Решили пошутить? В курсе, что php код на сервере выполняется? Так что хакеру ничего страшного php сделать не может, а вот если у хостера админы плохие или у вас собственный сервер... :D

Ну так это пример ;)

Ссылка на комментарий
Поделиться на других сайтах
  • 5 недель спустя...
Asmodey

Asmodey

Опубликовано
Опубликовано

А как исправить в баг с доступностью метода "TRACE"?

http://www.cgisecurity.com/articles/xss-faq.shtml

 

 

1) Запретить выполнение этого метода. В httpd.conf установить директиву

TraceEnable off

Правильное ли это решение?

 

 

А то моему сайту угрожают таким образом...

 

У вас на форуме есть уязвимости... одна из них - Доступность метода "TRACE"... именно этим я наверно и воспользуюсь...

Описание:

Удаленный пользователь может выполнить XSS нападение, используя HTTP TRACE запросы

С помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтовый скриптинг.

подробней можете узнать зайдя по ссылке http://www.cgisecurity.com/articles/xss-faq.shtml

Ссылка на комментарий
Поделиться на других сайтах
zeny773

zeny773

Опубликовано
Опубликовано
в сегодняшнем обновлении ошибка

Ясно. А я то думаю, почему после установки патча, при загрузке файлов стало выдавать "неудачная загрузка. Обратитесь к Админу за помощью".

Ссылка на комментарий
Поделиться на других сайтах
vov41k

vov41k

Опубликовано
Опубликовано

У меня вот такая проблема: я создал сайт и поставил форум 2,1,7

Мой пользователь находится в группе администрации, но там еще есть такая группа как Root Admin , я же должен быть в той группе! И у меня нет пару прав на редактирования форума! Как переместить мой акаун у группу Root Admin??? :D

Ссылка на комментарий
Поделиться на других сайтах
lirta

lirta

Опубликовано
Опубликовано
У меня вот такая проблема: я создал сайт и поставил форум 2,1,7

Мой пользователь находится в группе администрации, но там еще есть такая группа как Root Admin , я же должен быть в той группе! И у меня нет пару прав на редактирования форума! Как переместить мой акаун у группу Root Admin??? :D

Продвижение группы? потому что выше тебя на форуме никого. Двигать некуда.. ;)

Ссылка на комментарий
Поделиться на других сайтах
Fox Mulder

Fox Mulder

Опубликовано
Опубликовано

захожу сегодня в админку а там в хаметках написано:

Здорово, для начала поменяйте все пароли, и вернись к линейке 2.1 (2.1.7 она самая надёжная) все версии 2.2.x легко ложатся.

 

PS.Никаких спам рассылок я не осуществлял бд и нах не нужна, так что не беспокойся, обнови пароли в базе, админ и модер состава, сделай рассылку юзерам, что нужно сменить пасс и переходи к 2.1.7.

 

Будь бдителен уделяй больше внимания безопасности форуму ну и ресурсу в целом

Я позавчера делал чистку папок и случанйо убрал .хтацесс. Вот результат, незнаю как он сломал конечно... ИП с которого он логинился в админку не сопоставляется ни с одним юзером.

 

У меня вопрос что делать, несмотря на то что он типа просто предупредил, он же мог подсунуть в любой скин, файл да вообще куда угодно "сюрприз" или еше чота натворить в админке и теперь меняй или не меняй пароли толку 0...

 

подскжаите плиз

 

Что особенно интересно, он сначала авторизовался с логиным равным имени моей базы и ее пароля!!! де он их взял - хз!

а потмо уже под моим логином админа и пароля того же, он просто у меня такой же как и от базы

Ссылка на комментарий
Поделиться на других сайтах
Fox Mulder

Fox Mulder

Опубликовано
Опубликовано
напугали тебя имхо

подобрал чувак твой пароль, и версия не причем тут

да вряд ли... он имя моей базы мускула знал до того как зашел первый раз в админку...

Ссылка на комментарий
Поделиться на других сайтах
Arhar

Arhar

Опубликовано
Опубликовано

1. В базе пароли хранятся в хэшированом виде, если у тебя пароль состоял не из одних цифр и был длинным, то он не мог его получить через уязвимости, мог только войти на индекс, но никак не в админку.

2. Имя базы еще ничего не дает.

Ссылка на комментарий
Поделиться на других сайтах
Fox Mulder

Fox Mulder

Опубликовано
Опубликовано

был только из цифр - 7 штук) но не облом ли подбирать .. это ж времени сколько...

 

ну понятно что не дает... но узнать его не так и легко тоже.

Ссылка на комментарий
Поделиться на других сайтах
dfc_darkman

dfc_darkman

Опубликовано
Опубликовано
Пароль из цифр - это же нужно додуматься. :D)) он получил мд5 хеш твоего пароля через дырку, наверное и просто подобрал в программке. А реаел - это 5 минут для пароля из цифр.
Ссылка на комментарий
Поделиться на других сайтах
Zions

Zions

Опубликовано
Опубликовано

У меня вот такая проблема: я создал сайт и поставил форум 2,1,7

Мой пользователь находится в группе администрации, но там еще есть такая группа как Root Admin , я же должен быть в той группе! И у меня нет пару прав на редактирования форума! Как переместить мой акаун у группу Root Admin??? :D

Продвижение группы? потому что выше тебя на форуме никого. Двигать некуда.. ;)

 

Всё делай в своей базе через phpmyadmin находишь таблицу `ibf_members` в ней свой ник (name) правь его третье поле с верху mgroup должно быть 4 если после этого ты до сих пор не root admin зайди в директорию твоего форума найди и открой файл conf_global.php проверь $INFO['admin_group'] там выстави 4

Ссылка на комментарий
Поделиться на других сайтах
  • 2 недели спустя...
Sannis

Sannis

Опубликовано
Опубликовано
у меня форум 2.1.7

Тот что в подписи? Приведите сначала копирайты в порядок. (Не поверю что купили за $275)

 

как это лечить?

Ставить все исправления безопасности и соблюдать осторожность.

Ссылка на комментарий
Поделиться на других сайтах
SplideX

SplideX

Опубликовано
Опубликовано

я пароль меняю - всё равно такая же фигня

я поставил все обновления, что тут публиковались.

 

злоумышленник не может попасть в админку, видимо у него только хеш пароля, но как он его достает?

Ссылка на комментарий
Поделиться на других сайтах
Arhar

Arhar

Опубликовано
Опубликовано

так...

есть ли подозрительные файлы на сервере?

есть ли подозрительные аватары в темах(красный крестик)?

узнай ип адрес злоумышленника

Ссылка на комментарий
Поделиться на других сайтах
  • 2 недели спустя...
  • 2 недели спустя...
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен