Vic'er Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Название: Advanced input data verifierДобавил: Vic'erДобавлен: 06 Ноя 2005Обновлен: 07 Дек 2005Категория: IP.Board 2.1.x Модуль позволяет администратору и разработчикам повысить безопасность использования входящих данных, а именно закрывает возможность SQL injections через основные дыры во всем форуме сразу. После установки этого мода Вы сможете смело забить большой болт на все попытки сломать вас через дыры в обработке сл. переменных - 'st', 'id','showforum', 'f', 'forums', 'showtopic', 'tid', 't', 'pid', 'qpid', 'p', 'showuser', 'u', 'user', 'MID', 'img', 'album', 'member_id', 'pass_hash' - это те дыры, что я впомнил в первую очередь. по мере нахождения других "общих" дырок они будут вноситься в этот мод. Инсталляция:IPB 2.0.x -> 2.0.x_in_data_rules_install.txtIPB 2.1.x -> 2.1.x_in_data_rules_install.txt v 1.0.1* исправлено определение параметра id (в админке этот параметр может быть не только числовым) v 1.0.2* изменен порядок подключения класса. тепь он подключается в проект в одном месте и работает независимо от разных модулей v 1.0.3* исправлено определение параметра f (кто бы мог подумать, что Мэт, в качестве Id форума может передавать что либо еще другое))))* исправленно некорректное определение кук Благодарности:Всем, кто находит дыры в IPB и сообщает об этом зы Этот метод никоим образом не претендует на оригинальность и безглюковость - это всего лишь попытка унифицировать обработку входящих переменных ззы Автор не несет никакой ответственности за любые дествия, произошедшие по вине этого модуля. Вы используете его на свой страх и риск Нажмите здесь, чтобы скачать файл Ссылка на комментарий Поделиться на других сайтах Прочее
uT)Dev1L Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 кто нить уже пробовал? Ссылка на комментарий Поделиться на других сайтах Прочее
sanches36 Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Последние строчки автора настораживают Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 А почему тогда это мод а не заплатка безопасности? Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 6 Ноября 2005 Автор Жалоба Поделиться Опубликовано 6 Ноября 2005 Последние строчки автора настораживаютСтандартная опенсорсовская отмазка [1131277075:1131277174]А почему тогда это мод а не заплатка безопасности?А потому, что мод, а не заплатка )) заплатки лепят там, где находят дырки. а этот мод предотвращает их в будущем. покрайней мере многие из них. Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Так спасибо, вот я мод у себя установил. Как я могу проверить его работоспособность. А то я ровно как защищать, так и ломать ничего не умею.Если не хотите тут, прошу в Пм.Зарание спасибо. Ссылка на комментарий Поделиться на других сайтах Прочее
=SPiRiT= Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 хакер не сможет вытащить из базы данных одним запросом информацию! Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 6 Ноября 2005 Автор Жалоба Поделиться Опубликовано 6 Ноября 2005 заплатки лепят там, где находят дырки. а этот мод предотвращает их в будущем. покрайней мере многие из них. причем действие мода закрывает сразу все подобные дыры не только в форуме, но и в галерее и в блоге и в др. модулях от invision. Как я могу проверить его работоспособностьможешь отключить заплатку от автологина и проверить, можешь отключить заплатки, которые подставляют инжекшены в цифровые поля (например эту, если юзаешь галерею). я просто не помню точно все такие случаи - они взлетают постоянно. причем дыр таких полно (незакрытых в том числе) - просто дыроискатели чаще ищут их на практике, а не заглядывают в код [1131277923:1131278141]хакер не сможет вытащить из базы данных одним запросом информацию! <{POST_SNAPBACK}>Что Вы говорите -> пример Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Я установил на соверенно чисты й форум на локалхосте, так, что отключать мне нечего.Но все равно спасибо за такую модификацию Ссылка на комментарий Поделиться на других сайтах Прочее
kolobochek Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Если бы это был не Vic'er, то я бы не скачнул... Поробую попожа на форум, который у меня стоит - чистый...посмотрим... Ссылка на комментарий Поделиться на других сайтах Прочее
pikachu Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 А как этот мод будет жить с теми заплатками, которые уже тут выкладывали в теме про Уязвимости ИПБ ? Ссылка на комментарий Поделиться на других сайтах Прочее
Destruction Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Последние строчки автора настораживают<{POST_SNAPBACK}>Хмм, автор вродь не умер и писать может... Ты хотел сказать последние строчки сообщения? А как этот мод будет жить с теми заплатками, которые уже тут выкладывали в теме про Уязвимости ИПБ ?Ничуть не хуже, чем другие моды, мб даже лучше Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 pikachuНа сколько я понимаю конфликтов возникнуть не должно.kolobochekА чего боишся ставить постороний мод (новый к тому же?) Ссылка на комментарий Поделиться на других сайтах Прочее
Destruction Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 К тому, что он новый Ссылка на комментарий Поделиться на других сайтах Прочее
WildCat Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Поставил себе ибо вещь нужнейшая: кто защищен, тот вооружен! Тем, у кого стоит мод mJournal (ЖЖ): в файле journal.php (который лежит в корне форума) найтиrequire ROOT_PATH."sources/functions.php"; выше добавитьrequire ROOT_PATH."sources/in_data_rules.php"; Без этого мод работать не будет, не использует он стандартный index.php... Ссылка на комментарий Поделиться на других сайтах Прочее
pikachu Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Fatal error: Undefined class name 'in_data_rules' in /home/******/public_html/forum/sources/functions.php on line 1933 Это выдается при попытке захода на сайт http://*****.ru причем сам форум работает ps: на сайте стоит интеграция ипб и мамбы, но я связи не вижу.. как связан index.php на сайте с function.php на форуме Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 6 Ноября 2005 Автор Жалоба Поделиться Опубликовано 6 Ноября 2005 Копаем в направлении указанном WildCat. Мод для форума - он не может предусмотреть все возможные и невозможные сторонние моды использующие нестандартный коннект к сорцам форума. зы Может конечно, но для этого рекьюрить in_data_rules пришлось бы в functions.php, что не есть гуд Ссылка на комментарий Поделиться на других сайтах Прочее
From Baku Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 раньше до этого мода при закрытии окна с форумом и последующем его открытием ник был залогинен. а теперь нет. так и должно быть? или может можно это исправить? Ссылка на комментарий Поделиться на других сайтах Прочее
TauRUS Опубликовано 6 Ноября 2005 Жалоба Поделиться Опубликовано 6 Ноября 2005 Сообщение удалить! Ошибку я исправил.Сонный. Невнимательно прочитал ) Автору благодарность!И вопрос: этот патчик будет включён в русскую локализацию up to 2.1.2? Ссылка на комментарий Поделиться на других сайтах Прочее
From Baku Опубликовано 7 Ноября 2005 Жалоба Поделиться Опубликовано 7 Ноября 2005 И ещё проблема: после установки мода - форум перестал пускать в запароленные разделы форума... Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 7 Ноября 2005 Автор Жалоба Поделиться Опубликовано 7 Ноября 2005 раньше до этого мода при закрытии окна с форумом и последующем его открытием ник был залогинен. а теперь нет. так и должно быть? или может можно это исправить?<{POST_SNAPBACK}>И ещё проблема: после установки мода - форум перестал пускать в запароленные разделы форума...<{POST_SNAPBACK}>Это все скорее всего следствия одной причины - где-то недочет (или в патче или у Вас при установке) и связан он с проверкой хеша в куках. Версия форума какая? зы хотя... только что проверил как на 2.0.4, так и на 2.1.2 - все нормально - состояние запоминается отлично, закрытые разделы доступны Ссылка на комментарий Поделиться на других сайтах Прочее
kolobochek Опубликовано 7 Ноября 2005 Жалоба Поделиться Опубликовано 7 Ноября 2005 *SHADOW*Последние две строчки... Ссылка на комментарий Поделиться на других сайтах Прочее
*SHADOW* Опубликовано 7 Ноября 2005 Жалоба Поделиться Опубликовано 7 Ноября 2005 *SHADOW*Последние две строчки...<{POST_SNAPBACK}>Не понял, ты про что? Ссылка на комментарий Поделиться на других сайтах Прочее
From Baku Опубликовано 7 Ноября 2005 Жалоба Поделиться Опубликовано 7 Ноября 2005 раньше до этого мода при закрытии окна с форумом и последующем его открытием ник был залогинен. а теперь нет. так и должно быть? или может можно это исправить?<{POST_SNAPBACK}>И ещё проблема: после установки мода - форум перестал пускать в запароленные разделы форума...<{POST_SNAPBACK}>Это все скорее всего следствия одной причины - где-то недочет (или в патче или у Вас при установке) и связан он с проверкой хеша в куках. Версия форума какая? зы хотя... только что проверил как на 2.0.4, так и на 2.1.2 - все нормально - состояние запоминается отлично, закрытые разделы доступны <{POST_SNAPBACK}> Версия 2.0.4 (апгрейд от 1.3 от Игорька) Ссылка на комментарий Поделиться на других сайтах Прочее
western Опубликовано 8 Ноября 2005 Жалоба Поделиться Опубликовано 8 Ноября 2005 На 2.1.2 мод очень глючно работает например не работает в админке менеджер смайлов ,а некоторые пользователи не смогли войти на форум, одним словом мод удалил. Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения