phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
Zamknięty przez: joli
16-09-2008, 20:52
Mo?liwo?? w?amania na forum przez Junior admina
Autor Wiadomość
Widmo 
Wredota...



Pomógł: 180 razy
Posty: 2434
Skąd: Warszawa
Wysłany: 16-04-2006, 01:03   Możliwość włamania na forum przez Junior admina

Wprawdzie są dwa warunki użycia exploita - ale warto sie zabezpieczyc.

Wykryto dziurę która umożliwia wykonanie dowolnego kodu PHP na forum.

Pierwszy warunek - atakujący musi mieć dostęp do pliku *.css dostępnego na forum stylu (panel admina)
Czyli wystarczy że jest adminem, lub junior adminem.

Drugi warunek: *.css musi miec włączone prawa zapisu.

Jak się zabezpieczyć:

Ustaw CHMOD 444 na plik subSilver.css lub *.css swojego stylu.

Otwórz: viewtopic.php

ZNAJDZ:
Kod:

if ( $user_sig != '' )
{
    $user_sig = make_clickable($user_sig);
}
$message = make_clickable($message);


ZA DODAJ:

Kod:
$theme['fontcolor3']  = preg_replace('#[^a-f0-9]+#i','',$theme['fontcolor3']);
_________________
Potrzebujesz pomocy?
Ostatnio zmieniony przez Przemo 11-06-2006, 15:48, w całości zmieniany 2 razy  
 
 
     
Gadatliwa Kasia 

   
MaciekP 
Beginner


Pomógł: 12 razy
Posty: 137
Wysłany: 16-04-2006, 02:30   Re: Wykryto dziurę w phpBB - ważna poprawka.

Widmo napisał/a:

Czyli wystarczy że jest adminem, lub junior adminem.

Żeby było jasne - gdy wszyscy nasi administratorzy/juniorzy to zaufane osoby, to nie musimy wgrywać tej poprawki?
Jeżeli tak, to nie wiem czy to aż tak ważna poprawka :)
 
 
     
Widmo 
Wredota...



Pomógł: 180 razy
Posty: 2434
Skąd: Warszawa
Wysłany: 16-04-2006, 02:37   

MaciekP napisał/a:
Żeby było jasne - gdy wszyscy nasi administratorzy/juniorzy to zaufane osoby, to nie musimy wgrywać tej poprawki?
Jeżeli tak, to nie wiem czy to aż tak ważna poprawka


może jednak na wszelki wypadek warto wgrać...
bierz pod uwage wlamanie na konto admina...
_________________
Potrzebujesz pomocy?
 
 
     
irekk 


Pomógł: 281 razy
Posty: 2865
Wysłany: 16-04-2006, 02:42   

Widmo napisał/a:
bierz pod uwage wlamanie na konto admina...
wowczas zadna poprawka nas nie uratuje ;) MaciekP, to juz twoja broszka co zrobisz to jest raptem edycja jednego pliku czy to az taki problem?
 
     
Widmo 
Wredota...



Pomógł: 180 razy
Posty: 2434
Skąd: Warszawa
Wysłany: 16-04-2006, 07:39   

qbs napisał/a:
wowczas zadna poprawka nas nie uratuje


majac dostep do panelu nie uruchomisz dowolnego kodu php ;]
_________________
Potrzebujesz pomocy?
 
 
     
MarX 


Pomógł: 26 razy
Posty: 349
Skąd: Kentaki
Wysłany: 16-04-2006, 09:21   

Co mnie martwi, skoro to taka ważna poprawka to, czemu nie ma żadnych informacji na maila.
Akurat codziennie zaglądam na forum, ale inni??
_________________
hmmmmmmmmmm?! :F
 
 
     
irekk 


Pomógł: 281 razy
Posty: 2865
Wysłany: 16-04-2006, 09:45   

wiesz wdmo, ale osoba ktora bedzie chciala zaszkodzic wystarczy ze zrobi masow usuwanie uzytkownikow i postow i po forum. wowczas php ci jest nie potrzebne ;)
 
     
przecinek 



Pomógł: 272 razy
Posty: 890
Wysłany: 16-04-2006, 10:19   

Bazę można przywrócić, ale jak ktoś wykradnie md5 haseł to może nie być ciekawie :) .
 
     
irekk 


Pomógł: 281 razy
Posty: 2865
Wysłany: 16-04-2006, 10:22   

a w ogloszeniu nie mozna walnac exploita? tam chyba nie ma kontroli htmla?
 
     
Widmo 
Wredota...



Pomógł: 180 razy
Posty: 2434
Skąd: Warszawa
Wysłany: 16-04-2006, 22:39   

MarX napisał/a:
Co mnie martwi, skoro to taka ważna poprawka to, czemu nie ma żadnych informacji na maila.
Akurat codziennie zaglądam na forum, ale inni??


bo wole jak Przemo wysle mass maila...
_________________
Potrzebujesz pomocy?
 
 
     
MarX 


Pomógł: 26 razy
Posty: 349
Skąd: Kentaki
Wysłany: 17-04-2006, 09:02   

Widmo napisał/a:
bo wole jak Przemo wysle mass maila...

rozumiem :) ufam swojej prawej ręce, ale poprawkę dodałem.
_________________
hmmmmmmmmmm?! :F
 
 
     
Przemo 



Pomógł: 210 razy
Posty: 3142
Skąd: PL/Kraków
Wysłany: 18-04-2006, 10:18   

Widmo, 1. Kto wykrył dziurę?
2. Czy jest to dziura ogólnie phpBB czy naszej wersji?

W naszej wersji jest całkiem inne zarządzanie stylami. Nie można odebrać praw plikowi CSS, chyba, że juz nie bedziemy edytowac kolorow. Hackowac musialby admin lub junior admin z dostepem do zarzadzania stylami. Chyba to zbytnia panika.
 
     
Przemo 



Pomógł: 210 razy
Posty: 3142
Skąd: PL/Kraków
Wysłany: 18-04-2006, 10:21   

Zmieniłem parametry tego tematu bo zbytnio straszyły :)
 
     
Widmo 
Wredota...



Pomógł: 180 razy
Posty: 2434
Skąd: Warszawa
Wysłany: 18-04-2006, 16:26   

Przemo napisał/a:
Widmo, 1. Kto wykrył dziurę?


nie wiem - nie ja :)

Przemo napisał/a:
2. Czy jest to dziura ogólnie phpBB czy naszej wersji?

w naszej, w phpBB, w aktualnych i niższych.
_________________
Potrzebujesz pomocy?
 
 
     
Gadatliwa Kasia 

   
GrZyB997 

Posty: 9
Wysłany: 28-04-2006, 14:47   

A mozna junior adminowi ując zarządzanie stylami ?

PzDr.
 
 
     
Wyświetl posty z ostatnich:   
Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,04 sekundy. Zapytań do SQL: 13
Polecane serwisy

Partner strony: najlepszyranking.pl



Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a



phpbb

serwis laptopów

• Zamów reklamę

Egzotyczne sadzonki i nasiona krajowe i zagraniczne, Sprzedaż wysyłkowa roślin i nasion kwiatów praktyczne porady ogrodnicze, opisy, zdjęcia roślin, najlepsze forum o roślinach egzotycznych w Polsce