[2.1.x]Advanced input data verifier

[Vic'er]

Название: Advanced input data verifier

Добавил: Vic'er

Добавлен: 06 Ноя 2005

Обновлен: 07 Дек 2005

Категория: IP.Board 2.1.x

 

Модуль позволяет администратору и разработчикам повысить безопасность использования входящих данных, а именно закрывает возможность SQL injections через основные дыры во всем форуме сразу.

 

После установки этого мода Вы сможете смело забить большой болт на все попытки сломать вас через дыры в обработке сл. переменных - 'st', 'id','showforum', 'f', 'forums', 'showtopic', 'tid', 't', 'pid', 'qpid', 'p', 'showuser', 'u', 'user', 'MID', 'img', 'album', 'member_id', 'pass_hash' - это те дыры, что я впомнил в первую очередь. по мере нахождения других "общих" дырок они будут вноситься в этот мод.

 

Инсталляция:

IPB 2.0.x -> 2.0.x_in_data_rules_install.txt

IPB 2.1.x -> 2.1.x_in_data_rules_install.txt

 

v 1.0.1

* исправлено определение параметра id (в админке этот параметр может быть не только числовым)

 

v 1.0.2

* изменен порядок подключения класса. тепь он подключается в проект в одном месте и работает независимо от разных модулей

 

v 1.0.3

* исправлено определение параметра f (кто бы мог подумать, что Мэт, в качестве Id форума может передавать что либо еще другое))))

* исправленно некорректное определение кук

 

Благодарности:

Всем, кто находит дыры в IPB и сообщает об этом

 

зы Этот метод никоим образом не претендует на оригинальность и безглюковость - это всего лишь попытка унифицировать обработку входящих переменных

 

ззы Автор не несет никакой ответственности за любые дествия, произошедшие по вине этого модуля. Вы используете его на свой страх и риск

 

Нажмите здесь, чтобы скачать файл

[uT)Dev1L]

кто нить уже пробовал?

[sanches36]

Последние строчки автора настораживают

[*SHADOW*]

А почему тогда это мод а не заплатка безопасности?

[Vic'er]

Последние строчки автора настораживают

Стандартная опенсорсовская отмазка [1131277075:1131277174]

А почему тогда это мод а не заплатка безопасности?

А потому, что мод, а не заплатка )) заплатки лепят там, где находят дырки. а этот мод предотвращает их в будущем. покрайней мере многие из них.

[*SHADOW*]

Так спасибо, вот я мод у себя установил. Как я могу проверить его работоспособность. А то я ровно как защищать, так и ломать ничего не умею.

Если не хотите тут, прошу в Пм.

Зарание спасибо.

[=SPiRiT=]

хакер не сможет вытащить из базы данных одним запросом информацию!

[Vic'er]

заплатки лепят там, где находят дырки. а этот мод предотвращает их в будущем. покрайней мере многие из них.

причем действие мода закрывает сразу все подобные дыры не только в форуме, но и в галерее и в блоге и в др. модулях от invision.

 

Как я могу проверить его работоспособность

можешь отключить заплатку от автологина и проверить, можешь отключить заплатки, которые подставляют инжекшены в цифровые поля (например эту, если юзаешь галерею). я просто не помню точно все такие случаи - они взлетают постоянно. причем дыр таких полно (незакрытых в том числе) - просто дыроискатели чаще ищут их на практике, а не заглядывают в код [1131277923:1131278141]

хакер не сможет вытащить из базы данных одним запросом информацию!

<{POST_SNAPBACK}>

Что Вы говорите -> пример

[*SHADOW*]

Я установил на соверенно чисты й форум на локалхосте, так, что отключать мне нечего.

Но все равно спасибо за такую модификацию

[kolobochek]

Если бы это был не Vic'er, то я бы не скачнул... Поробую попожа на форум, который у меня стоит - чистый...посмотрим...

[pikachu]

А как этот мод будет жить с теми заплатками, которые уже тут выкладывали в теме про Уязвимости ИПБ ?

[Destruction]

Последние строчки автора настораживают

<{POST_SNAPBACK}>

Хмм, автор вродь не умер и писать может... Ты хотел сказать последние строчки сообщения?

 

А как этот мод будет жить с теми заплатками, которые уже тут выкладывали в теме про Уязвимости ИПБ ?

Ничуть не хуже, чем другие моды, мб даже лучше

[*SHADOW*]

pikachu

На сколько я понимаю конфликтов возникнуть не должно.

kolobochek

А чего боишся ставить постороний мод (новый к тому же?)

[Destruction]

К тому, что он новый

[WildCat]

Поставил себе ибо вещь нужнейшая: кто защищен, тот вооружен!

 

Тем, у кого стоит мод mJournal (ЖЖ):

 

в файле journal.php (который лежит в корне форума) найти

require ROOT_PATH."sources/functions.php";

 

выше добавить

require ROOT_PATH."sources/in_data_rules.php";

 

Без этого мод работать не будет, не использует он стандартный index.php...

[pikachu]

Fatal error: Undefined class name 'in_data_rules' in /home/******/public_html/forum/sources/functions.php on line 1933

 

Это выдается при попытке захода на сайт http://*****.ru

 

 

причем сам форум работает

 

ps: на сайте стоит интеграция ипб и мамбы, но я связи не вижу.. как связан index.php на сайте с function.php на форуме

[Vic'er]

Копаем в направлении указанном WildCat.

 

Мод для форума - он не может предусмотреть все возможные и невозможные сторонние моды использующие нестандартный коннект к сорцам форума.

 

зы Может конечно, но для этого рекьюрить in_data_rules пришлось бы в functions.php, что не есть гуд

[From Baku]

раньше до этого мода при закрытии окна с форумом и последующем его открытием ник был залогинен. а теперь нет. так и должно быть? или может можно это исправить?

[TauRUS]

Сообщение удалить! Ошибку я исправил.

Сонный. Невнимательно прочитал )

 

Автору благодарность!

И вопрос: этот патчик будет включён в русскую локализацию up to 2.1.2?

[From Baku]

И ещё проблема: после установки мода - форум перестал пускать в запароленные разделы форума...

[Vic'er]

раньше до этого мода при закрытии окна с форумом и последующем его открытием ник был залогинен. а теперь нет. так и должно быть? или может можно это исправить?

<{POST_SNAPBACK}>

И ещё проблема: после установки мода - форум перестал пускать в запароленные разделы форума...

<{POST_SNAPBACK}>

Это все скорее всего следствия одной причины - где-то недочет (или в патче или у Вас при установке) и связан он с проверкой хеша в куках. Версия форума какая?

 

зы хотя... только что проверил как на 2.0.4, так и на 2.1.2 - все нормально - состояние запоминается отлично, закрытые разделы доступны

[kolobochek]

*SHADOW*

Последние две строчки...

[*SHADOW*]

*SHADOW*

Последние две строчки...

<{POST_SNAPBACK}>

Не понял, ты про что?

[From Baku]

раньше до этого мода при закрытии окна с форумом и последующем его открытием ник был залогинен. а теперь нет. так и должно быть? или может можно это исправить?

<{POST_SNAPBACK}>

И ещё проблема: после установки мода - форум перестал пускать в запароленные разделы форума...

<{POST_SNAPBACK}>

Это все скорее всего следствия одной причины - где-то недочет (или в патче или у Вас при установке) и связан он с проверкой хеша в куках. Версия форума какая?

 

зы хотя... только что проверил как на 2.0.4, так и на 2.1.2 - все нормально - состояние запоминается отлично, закрытые разделы доступны

<{POST_SNAPBACK}>

 

Версия 2.0.4 (апгрейд от 1.3 от Игорька)

[western]

На 2.1.2 мод очень глючно работает например не работает в админке менеджер смайлов ,а некоторые пользователи не смогли войти на форум, одним словом мод удалил.