уязвимости в 2.1.6

[eraser_bc]

в форуме версии 2.1.6 были замечены уязвимости

один из пользователей както получил доступ к админке

 

может реально както ограничить доступ к админке по IP адресу ? или отдельным паролем ?

помогите плиз

[Milse]

Не пугай так сильно.... Где ты выкопал инфу об уязвимости? Дай ссылку. А админку можно привязать к IP.

И запрети сторонние аватары в админке, так как могут снифф заслать - http://dreamshell.h16.ru/hack/cookie_avatar_ipb.txt

[TOIIOP]

to eraser_bc

Это не уязвимость! Не надо давать ссылки с вашим зашифрованным паролем.. (щас уже не вспомню как это прально называется)

Будьте внимательнее!

 

Если форум в локальной сети, то могли украсть ваши куки и сменить ip (чтобы этого не случилось, делайте logout)

[Denis_home]

TOIIOP

Не понял

Я постоянно ссылки даю в сетевом чате и на самом форума, на тему или определённое сообщение.

Вот например: http://192.168.1.1/forum/index.php?s=&show...findpost&p=3993

И это можно счатать я даю свой пароль?

 

Наверное до меня не допёрло, он видимо ссылку в админку дал?

Что-то типа : http://192.168.1.1/forum/admin.php?adsess=...*******894013f& (**** - я зашифровал )

 

 

Milse

В локалке это тоже реально провернуть? Кстати картинки же и в подпись можно ставить.

[freeman85]

в локалке можно снифером утянуть.

[Denis_home]

в локалке можно снифером утянуть.

Надо это дело пофиксить

[TOIIOP]

TOIIOP

Наверное до меня не допёрло, он видимо ссылку в админку дал?

Что-то типа : http://192.168.1.1/forum/admin.php?adsess=...*******894013f& (**** - я зашифровал )

 

Угу, только этот код еще иногда к топикам дописывается... не обязательно в админке...

не знаю от чего это зависит.. можт версия старая, можт браузер такой...

[eraser_bc]

Не пугай так сильно.... Где ты выкопал инфу об уязвимости? Дай ссылку. А админку можно привязать к IP.

И запрети сторонние аватары в админке, так как могут снифф заслать - http://dreamshell.h16.ru/hack/cookie_avatar_ipb.txt

не пугаю все реально произошло - я сам офигел

нашел выход из проблемы - перенес админку из файла admin.php в другой )

а что значит "запрети сторонние аватары в админке" ? запретить загрузку аватаров с компа на форум ?

 

to eraser_bc

Это не уязвимость! Не надо давать ссылки с вашим зашифрованным паролем.. (щас уже не вспомню как это прально называется)

Будьте внимательнее!

Если форум в локальной сети, то могли украсть ваши куки и сменить ip (чтобы этого не случилось, делайте logout)

хакнули не из локалки и я это знаю - по логам увидел

"ссылки с вашим зашифрованным паролем" - ты имел ввиду сессии может быть ? слышал что нетрудно украсть ? у меня на форуме время жизни сессии - час стоит. на самом ли деле так легко украсть сессию у юзера ?

 

 

 

Наверное до меня не допёрло, он видимо ссылку в админку дал?

Что-то типа : http://192.168.1.1/forum/admin.php?adsess=...*******894013f& (**** - я зашифровал )

 

линки я не давал никому - это раз...

два - как можно получить пароль из этого набора цифр ?

[TOIIOP]

два - как можно получить пароль из этого набора цифр ?

Вот смотри ролик, правда там для старой версии, но с легкостью можно сделать для любой..

(ссылку отправил в PM)

[Denis_home]

линки я не давал никому - это раз...

два - как можно получить пароль из этого набора цифр ?

И не надо его узнавать... Просто в адресе пишишь и он зайдёт в админку.

[eraser_bc]

И не надо его узнавать... Просто в адресе пишишь и он зайдёт в админку.

 

блин. вот это тупоооо вообще получаеться =/

глянуть историю и зайти в админку ... я в шоке просто от создателей IPB =)

[Denis_home]

И не надо его узнавать... Просто в адресе пишишь и он зайдёт в админку.

 

блин. вот это тупоооо вообще получаеться =/

глянуть историю и зайти в админку ... я в шоке просто от создателей IPB =)

А иначе ни как не заделать... Надо было как-то определять админа.

Они заделали защиту. Если ты с чужого компа зашёл в админку, ключ активен до тех пор пока ты не зайдешь ещё раз в админку и ключ поменяется.

Потом не было бы этого ключа любой бы смог зайти в админку.

Короче админу запрещается тупить, и раздавать всем ссылки в админку. За этого его в бан

[eraser_bc]

это каким должен быть тупым админ чтобы раздавать линки на админу =)

[vasyast]

В принципе, если администратор форума один, у него постоянный IP (персональный IP, а не на всю подсеть), то можно закрыть файл admin.php через дерективы в .htaccess. Так же можно убрать admin.php в другое место, вообщем изящрений в этом вопросе хватает.

 

Если интересно, то в .htaccess можно прописать следующее (если ошибка, то попровте меня):

<Files admin.php> 
 order deny,allow 
 deny from all 
 allow from xxx.xxx.xxx.xxx 
</Files>

Где xxx.xxx.xxx.xxx ваш IP.

[Denis_home]

это каким должен быть тупым админ чтобы раздавать линки на админу =)

во тож...

 

В принципе, если администратор форума один, у него постоянный IP (персональный IP, а не на всю подсеть), то можно закрыть файл admin.php через дерективы в .htaccess. Так же можно убрать admin.php в другое место, вообщем изящрений в этом вопросе хватает.

 

Если интересно, то в .htaccess можно прописать следующее (если ошибка, то попровте меня):

<Files admin.php> 
 order deny,allow 
 deny from all 
 allow from xxx.xxx.xxx.xxx 
</Files>

Где xxx.xxx.xxx.xxx ваш IP.

Есть вариант попроще, в таком случаи. Не раздавать линки...

А тему вы эту закройте.

[freeman85]

нифигассе... а если проерять IP с которого была осуществлена аутентификация.

Зачем с другого IP заходить в админку с тек. сессией, всеравно при входе запрашивается данные, и правильно.

 

Но прикрепиться к IP нужно.

[pres]

мощьный такой форум, платный и т.д. и такой баг, оч обидно, надеюсь разработчики обратят на это внимания и копитально исправят

[vasyast]

мощьный такой форум, платный и т.д. и такой баг, оч обидно, надеюсь разработчики обратят на это внимания и копитально исправят

Укажите на баг прежде чем так категорично говорить.

[Denis_home]

Опа и фиг там... Это ключ к IP привязывается

Сегодня своего админа в пользователи перевел, дал ему прямую ссылку с ключом в админку, пишет "Не может быть запрошена сессия".

Так что остыньте всё в поряде.

[Arhar]

Админку защищаем хтацесом как было указано, но только ставим пароль а не проверку ip, и пароль через апач не говорим никому

всё.

 

<Files admin.php> 
AuthName "ТокакВыхотитеназватьэто" 
AuthType Basic 
AuthUserFile /путькфайлу/.htpasswd 
<Limit GET POST> (значиттрипопыткиввода)
require valid-user
</Limit> 
</Files>

[pres]

мощьный такой форум, платный и т.д. и такой баг, оч обидно, надеюсь разработчики обратят на это внимания и копитально исправят

Укажите на баг прежде чем так категорично говорить.

 

я про ссылку на админик, то что в ней сомой закодированый пароль

[Was Ist Das?!]

это каким должен быть тупым админ чтобы раздавать линки на админу =)

во тож...

 

В принципе, если администратор форума один, у него постоянный IP (персональный IP, а не на всю подсеть), то можно закрыть файл admin.php через дерективы в .htaccess. Так же можно убрать admin.php в другое место, вообщем изящрений в этом вопросе хватает.

 

Если интересно, то в .htaccess можно прописать следующее (если ошибка, то попровте меня):

<Files admin.php> 
 order deny,allow 
 deny from all 
 allow from xxx.xxx.xxx.xxx 
</Files>

Где xxx.xxx.xxx.xxx ваш IP.

Есть вариант попроще, в таком случаи. Не раздавать линки...

А тему вы эту закройте.

 

 

Возможно привязать к нескольким ипам?

[Arhar]

http://www.iho.ru/faq/manual/htaccess.html#access

 

Лучше к ипам не привязывать, я слышал, их можно как-то подделать

[Fox Mulder]

http://www.iho.ru/faq/manual/htaccess.html#access

 

Лучше к ипам не привязывать, я слышал, их можно как-то подделать

эито если знать какой ИП подделать, а из хт.ассеса ты не вытянешь ИП разрешенный никак... т.е. у тя нету прав посотреть содержимое хтаццеса.

 

п.с. у меня 2.1.5 ломанули 12 мая (доступ в админку юзер получил самовольно), я сделал апгрейт до 2.1.6, сегодня его опять сломали, причем меня удалили... пришлось вписать себя через пхпМайадмин юзером №1... получается баг есть и в 2.1.6... в клиент-центре знают как его фиксить?

 

пока переименовал admin.php и поставил htaccess со своим ИП.... жду когда будет решение как баг устранить...

[darkden]

Уязвимость в 2.1.6 есть! Никаких ссылок на админку никому не давал, после того как сломали 2.1.5, всем были заменены принудительно пароли(поставить старый пароль нельзя)... так что проблема есть, есть логи запросов, думаю что инвижен проблему признает, вот только фиксить будет, долго.

[vasyast]

Уязвимость в 2.1.6 есть! Никаких ссылок на админку никому не давал, после того как сломали 2.1.5, всем были заменены принудительно пароли(поставить старый пароль нельзя)... так что проблема есть, есть логи запросов, думаю что инвижен проблему признает, вот только фиксить будет, долго.

Вы написали уже в IPS или просто в пустоту говорите? Выкладывайте факты, а такие пространные фразы кроме как дискредитацией IPB назвать нельзя.