Вот что нашел по запросу уязвимости

[kilogram]

Ссылка

 

Правду сказать - у меня лёгкая паника.

[Milse]

kilogram - Это работает только в трёх случаях:

 

1. - "Debug Level" is set to 3

 

2. - Enable SQL Debug Mode is turned on

 

3. - Админ не понимает как выставить первые две настройки

 

Всё это уже давно описано на этом форуме...

[kilogram]

Как я понимаю это настройки Отладки SQL \то есть в админсекторе должен стоять "НЕТ"\

ТОЕСТЬ В ЦЕЛЯХ БЕЗОПАСНОСТИ РЕЖИМ ОТЛАДКИ ДОЛЖЕН БЫТЬ ОТКЛЮЧЕН.

Я правильно понимаю?

1. - "Debug Level" is set to 3 - где меняется этото параметр? Или это одно и то же?

 

Ну или дайте ссылку на тему здесь, не нашел

[Milse]

Исправление уязвимостей форумов

[kilogram]

Спасибо гигантское!

[LordBone]

Люди, а "Debug Level is set to 3" - это отладочные сообщения? (при 3 там показывает 1+2 уровни и запросы к БД). Режим отладки базы у меня уже давно отключен, а вот этот Дебаг уровень где посмотреть?

[kilogram]

Так вот вот, и мне интересно.

Зато повыправил исправления по ссылке - Милс - УРА тебе!

 

Милс, скажи ещё вот что:

При создании дампера БД все эти исправления и замены фрагментов файлов после восстановления дампа становятся на место \если скажем форум с нуля ставить?\

Или начинать сначала править?

[Milse]

kilogram - всё что ты пишешь в базу сохраняется при её бэкапе. А то что правится в файлах - так это не в базе. Все эти фиксы официальные.

[Arhar]

самое главное - 4

Эксплоит замены пароля

это работает в том случае, если ты знаешь пароль юзера-цели

зачем это не совсем понятно

это не уязвимость собственно говоря

[LordBone]

А как на счёт моего вопроса?

Люди, а "Debug Level is set to 3" - это отладочные сообщения? (при 3 там показывает 1+2 уровни и запросы к БД).

[kilogram]

Да, меня этот вопрос ооочень волнует.

Ибо не зря я полез искать дыры.

На той неделе пытались ломать форум.

Где и как надо ставить и какой уровень? \Чтобы правильно было\

[Sannis]

Ставьте левел 0, зачем вам дебуг нужен? Если хотите время внизу - ставьте 1 а скуль-дебуг ставьте - 0. Вот.

[kilogram]

А ГДЕ? ГДЕ?

[Sannis]

Вы же сами сказали об этом во втором посте этой темы! В настройках безопасности.

[kilogram]

1. - "Debug Level" is set to 3

2. - Enable SQL Debug Mode is turned on

пункт 2 выполнил (собственно по умолчанию)

а вот пункта 1 - в упор не вижу

[Sannis]

Это в глоб настройках, вы наверное уже исправили меня. Называется "Отладочные сообщения", перед режимом отладки sql как раз

 

P.S. вот только как в цитате - напрвильно, ваш пост может когонить напутать...

[kilogram]

Будешь в Севастополе - угощаю!

Спасибо.

[Song]

! Уязвимость смены администраторского пароля

[kilogram]

Всё понятно, спасибо за подробности.

Вопрос, прав я или нет:

Если в админчасти функции дебег указаны корректно, стоит ли прибегать к неофициальным решениям?

Впрочем я уже и то и то сделал

[Song]

А что значит "корректно" в вашем случае?

 

На мой взгляд и "включено" корректно и "выключено" корректно.

[LordBone]

Song, думаю, что kilogram имед в виду следующее:

- Если отладку СЫЛ отключена, и дебаг мод не стоит на уровне 3, стоит ли производить изменения, приведённые в посте по ссылке, которую вы дали.

[Song]

- Если отладку СЫЛ отключена, и дебаг мод не стоит на уровне 3, стоит ли производить изменения, приведённые в посте по ссылке, которую вы дали.

 

В той ссылке что я дал написано:

Также вы можете выключить вывод debug информации, и ваш форум не будет уязвим.