Перейти к контенту
  • 0

защита от эксплойта- миф или реальность?


Вопрос

Не знаю туда пощу или нет, но вроде эксплойт под 2.1*

Вопрос такой:

Была попытка взломать форум, который описан тут

Есть ли офиц патч от инвижна от этого эксплойта? или последний патчик на вашем форуме дырку закрывает?

а то у меня в sources/action_public/search.php я таки нашел .intval

 

значит ли это что хацкер уже добрался до главного? как обезопаситься? поможет ли последний патч+ стирание .intval.

и поможет ли бан на слова с chr и eval ?

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0
убрал .intval - отключился поиск и кнопка Новые сообщения, хотя в эксплойте указана именно эта функция.
Ссылка на комментарий
Поделиться на других сайтах

  • 0
неужели я не так прочел? там же было написано...код такой то...а теперь сделайте такой то. там как раз и добавили .intval
Ссылка на комментарий
Поделиться на других сайтах

  • 0
Теперь перейдем к защите от этой напасти. Открываем файл sources/action_public/search.php и ищем в нем регулярное выражение:

 

this->output = preg_replace( “#(value=[\”‘]{$this->ipsclass->input[’lastdate’]}[\”‘])#i”, “\\1 selected=’selected’”, $this->output );

 

Которое заменяем на:

 

$this->output = preg_replace( “#(value=[\”‘]”.intval($this->ipsclass->input[’lastdate’]).”[\”‘])#i”, “\\1 selected=’selected’”, $this->output );

 

Как видите, патч состоит в том, что уязвимый параметр приводится к типу integer.

и, если не ошибаюсь, Обновление безопасности в IPB 2.x.x (25.04.06) одно и тоже

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.