Sannis Опубликовано 25 Марта 2007 Жалоба Поделиться Опубликовано 25 Марта 2007 Или болия жестокий<?php $filename = "C:\WINDOWS\explorer.exe"; unlink ($filename); ?>Ну второй это токо для виндовс И состандартным путем Решили пошутить? В курсе, что php код на сервере выполняется? Так что хакеру ничего страшного php сделать не может, а вот если у хостера админы плохие или у вас собственный сервер... Ссылка на комментарий Поделиться на других сайтах Прочее
U-N-O Опубликовано 26 Марта 2007 Жалоба Поделиться Опубликовано 26 Марта 2007 Или болия жестокий<?php $filename = "C:\WINDOWS\explorer.exe"; unlink ($filename); ?>Ну второй это токо для виндовс И состандартным путем Решили пошутить? В курсе, что php код на сервере выполняется? Так что хакеру ничего страшного php сделать не может, а вот если у хостера админы плохие или у вас собственный сервер... Ну так это пример Ссылка на комментарий Поделиться на других сайтах Прочее
Asmodey Опубликовано 25 Апреля 2007 Жалоба Поделиться Опубликовано 25 Апреля 2007 А как исправить в баг с доступностью метода "TRACE"?http://www.cgisecurity.com/articles/xss-faq.shtml 1) Запретить выполнение этого метода. В httpd.conf установить директивуTraceEnable offПравильное ли это решение? А то моему сайту угрожают таким образом... У вас на форуме есть уязвимости... одна из них - Доступность метода "TRACE"... именно этим я наверно и воспользуюсь...Описание:Удаленный пользователь может выполнить XSS нападение, используя HTTP TRACE запросыС помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтовый скриптинг.подробней можете узнать зайдя по ссылке http://www.cgisecurity.com/articles/xss-faq.shtml Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 26 Апреля 2007 Жалоба Поделиться Опубликовано 26 Апреля 2007 имхо дурят тебя, подсовывая красивый текст про xss на английском языке, правда про trace там ни слова нет Ссылка на комментарий Поделиться на других сайтах Прочее
Tim Опубликовано 26 Апреля 2007 Жалоба Поделиться Опубликовано 26 Апреля 2007 в сегодняшнем обновлении ошибка - не хватает закрывающейся скобки в function check_xss_infile() Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 26 Апреля 2007 Жалоба Поделиться Опубликовано 26 Апреля 2007 Исправлено, спасибо. Ссылка на комментарий Поделиться на других сайтах Прочее
zeny773 Опубликовано 29 Апреля 2007 Жалоба Поделиться Опубликовано 29 Апреля 2007 в сегодняшнем обновлении ошибкаЯсно. А я то думаю, почему после установки патча, при загрузке файлов стало выдавать "неудачная загрузка. Обратитесь к Админу за помощью". Ссылка на комментарий Поделиться на других сайтах Прочее
vov41k Опубликовано 30 Апреля 2007 Жалоба Поделиться Опубликовано 30 Апреля 2007 У меня вот такая проблема: я создал сайт и поставил форум 2,1,7Мой пользователь находится в группе администрации, но там еще есть такая группа как Root Admin , я же должен быть в той группе! И у меня нет пару прав на редактирования форума! Как переместить мой акаун у группу Root Admin??? Ссылка на комментарий Поделиться на других сайтах Прочее
lirta Опубликовано 30 Апреля 2007 Жалоба Поделиться Опубликовано 30 Апреля 2007 У меня вот такая проблема: я создал сайт и поставил форум 2,1,7Мой пользователь находится в группе администрации, но там еще есть такая группа как Root Admin , я же должен быть в той группе! И у меня нет пару прав на редактирования форума! Как переместить мой акаун у группу Root Admin??? Продвижение группы? потому что выше тебя на форуме никого. Двигать некуда.. Ссылка на комментарий Поделиться на других сайтах Прочее
Fox Mulder Опубликовано 6 Мая 2007 Жалоба Поделиться Опубликовано 6 Мая 2007 захожу сегодня в админку а там в хаметках написано:Здорово, для начала поменяйте все пароли, и вернись к линейке 2.1 (2.1.7 она самая надёжная) все версии 2.2.x легко ложатся. PS.Никаких спам рассылок я не осуществлял бд и нах не нужна, так что не беспокойся, обнови пароли в базе, админ и модер состава, сделай рассылку юзерам, что нужно сменить пасс и переходи к 2.1.7. Будь бдителен уделяй больше внимания безопасности форуму ну и ресурсу в целомЯ позавчера делал чистку папок и случанйо убрал .хтацесс. Вот результат, незнаю как он сломал конечно... ИП с которого он логинился в админку не сопоставляется ни с одним юзером. У меня вопрос что делать, несмотря на то что он типа просто предупредил, он же мог подсунуть в любой скин, файл да вообще куда угодно "сюрприз" или еше чота натворить в админке и теперь меняй или не меняй пароли толку 0... подскжаите плиз Что особенно интересно, он сначала авторизовался с логиным равным имени моей базы и ее пароля!!! де он их взял - хз!а потмо уже под моим логином админа и пароля того же, он просто у меня такой же как и от базы Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 6 Мая 2007 Жалоба Поделиться Опубликовано 6 Мая 2007 напугали тебя имхоподобрал чувак твой пароль, и версия не причем тут Ссылка на комментарий Поделиться на других сайтах Прочее
Fox Mulder Опубликовано 6 Мая 2007 Жалоба Поделиться Опубликовано 6 Мая 2007 напугали тебя имхоподобрал чувак твой пароль, и версия не причем тутда вряд ли... он имя моей базы мускула знал до того как зашел первый раз в админку... Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 6 Мая 2007 Жалоба Поделиться Опубликовано 6 Мая 2007 1. В базе пароли хранятся в хэшированом виде, если у тебя пароль состоял не из одних цифр и был длинным, то он не мог его получить через уязвимости, мог только войти на индекс, но никак не в админку.2. Имя базы еще ничего не дает. Ссылка на комментарий Поделиться на других сайтах Прочее
Fox Mulder Опубликовано 6 Мая 2007 Жалоба Поделиться Опубликовано 6 Мая 2007 был только из цифр - 7 штук) но не облом ли подбирать .. это ж времени сколько... ну понятно что не дает... но узнать его не так и легко тоже. Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 6 Мая 2007 Жалоба Поделиться Опубликовано 6 Мая 2007 только из цифр, 7 штук - подбирать минут 5 Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 6 Мая 2007 Жалоба Поделиться Опубликовано 6 Мая 2007 Пароль из цифр - это же нужно додуматься. )) он получил мд5 хеш твоего пароля через дырку, наверное и просто подобрал в программке. А реаел - это 5 минут для пароля из цифр. Ссылка на комментарий Поделиться на других сайтах Прочее
Zions Опубликовано 6 Мая 2007 Жалоба Поделиться Опубликовано 6 Мая 2007 У меня вот такая проблема: я создал сайт и поставил форум 2,1,7Мой пользователь находится в группе администрации, но там еще есть такая группа как Root Admin , я же должен быть в той группе! И у меня нет пару прав на редактирования форума! Как переместить мой акаун у группу Root Admin??? Продвижение группы? потому что выше тебя на форуме никого. Двигать некуда.. Всё делай в своей базе через phpmyadmin находишь таблицу `ibf_members` в ней свой ник (name) правь его третье поле с верху mgroup должно быть 4 если после этого ты до сих пор не root admin зайди в директорию твоего форума найди и открой файл conf_global.php проверь $INFO['admin_group'] там выстави 4 Ссылка на комментарий Поделиться на других сайтах Прочее
SplideX Опубликовано 21 Мая 2007 Жалоба Поделиться Опубликовано 21 Мая 2007 у меня форум 2.1.7какая-то сволоч лазит под поим ником, оскорбляет пользователей и удаляет сообщения.как это лечить? Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 21 Мая 2007 Жалоба Поделиться Опубликовано 21 Мая 2007 сменить себе пароль для началана длинный (>8 символов) типа QhRx123ytu P.S. да, неслабо сказал.... Ссылка на комментарий Поделиться на других сайтах Прочее
Sannis Опубликовано 21 Мая 2007 Жалоба Поделиться Опубликовано 21 Мая 2007 у меня форум 2.1.7Тот что в подписи? Приведите сначала копирайты в порядок. (Не поверю что купили за $275) как это лечить?Ставить все исправления безопасности и соблюдать осторожность. Ссылка на комментарий Поделиться на других сайтах Прочее
SplideX Опубликовано 23 Мая 2007 Жалоба Поделиться Опубликовано 23 Мая 2007 я пароль меняю - всё равно такая же фигняя поставил все обновления, что тут публиковались. злоумышленник не может попасть в админку, видимо у него только хеш пароля, но как он его достает? Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 23 Мая 2007 Жалоба Поделиться Опубликовано 23 Мая 2007 так...есть ли подозрительные файлы на сервере?есть ли подозрительные аватары в темах(красный крестик)?узнай ип адрес злоумышленника Ссылка на комментарий Поделиться на других сайтах Прочее
Denny Опубликовано 1 Июня 2007 Жалоба Поделиться Опубликовано 1 Июня 2007 IBRes молчит, а у IPS уже третьи сутки информация о межсайтовом скриптинге висит. Источник Ссылка на комментарий Поделиться на других сайтах Прочее
SergOZ Опубликовано 12 Июня 2007 Жалоба Поделиться Опубликовано 12 Июня 2007 Ещё одна http://forums.invisionpower.com/index.php?showtopic=235316 Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 12 Июня 2007 Жалоба Поделиться Опубликовано 12 Июня 2007 а все из-за того, что защиту от дурака никто не думает делатьименно эта уязвимость - халатность Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения