phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
Poprawka1 dla wersji 1.12.6
Autor Wiadomość
chelloPL



Pomógł: 413 razy
Posty: 2545
Wysłany: 28-03-2008, 15:22   Poprawka1 dla wersji 1.12.6

W związku z możliwością ataku XSS, prosimy o wykonanie poniższych zmian w kodzie forum:

admin/admin_mass_email.php
Znajdź:
Kod:
mass_email('', '', '', '', '', $HTTP_GET_VARS['start']);

zamień na:
Kod:
mass_email('', '', '', '', '', intval($HTTP_GET_VARS['start']));


groupcp_mail.php
Znajdź:
Kod:
mass_email('', $userdata['user_email'], '', '', '', $HTTP_GET_VARS['start']);

zamień na:
Kod:
mass_email('', $userdata['user_email'], '', '', '', intval($HTTP_GET_VARS['start']));


common.php
Znajdź:
Kod:
$PHP_SELF = ($HTTP_SERVER_VARS['PHP_SELF']) ? $HTTP_SERVER_VARS['PHP_SELF'] : $HTTP_ENV_VARS['PHP_SELF'];

przed tym, dodaj:
Kod:
if (isset($HTTP_GET_VARS['sid']) && !preg_match('/^[A-Za-z0-9]*$/', $HTTP_GET_VARS['sid']))
{
       $HTTP_GET_VARS['sid'] = '';
}
if (isset($HTTP_POST_VARS['sid']) && !preg_match('/^[A-Za-z0-9]*$/', $HTTP_POST_VARS['sid']))
{
       $HTTP_POST_VARS['sid'] = '';
}


viewtopic.php
Znajdź:
Kod:
$reply_topic_back_url = append_sid("viewtopic.$phpEx?" . POST_TOPIC_URL . "=$topic_id&postdays=0&postorder=0&start=" . ($HTTP_GET_VARS['cp'] * $user_posts_per_page));
message_die('GENERAL_MESSAGE', sprintf($lang['Loser_protect'], $HTTP_GET_VARS['cp'], $HTTP_GET_VARS['ap'], '<a href="' . $reply_topic_back_url . '">', '</a>', '<a href="' . $reply_topic_url . '">', '</a>'));

zamień na:
Kod:
$reply_topic_back_url = append_sid("viewtopic.$phpEx?" . POST_TOPIC_URL . "=$topic_id&amp;postdays=0&amp;postorder=0&amp;start=" . (intval($HTTP_GET_VARS['cp']) * $user_posts_per_page));
message_die('GENERAL_MESSAGE', sprintf($lang['Loser_protect'], intval($HTTP_GET_VARS['cp']), intval($HTTP_GET_VARS['ap']), '<a href="' . $reply_topic_back_url . '">', '</a>', '<a href="' . $reply_topic_url . '">', '</a>'));


includes/functions_hierarchy.php
Znajdź:
Kod:
$link = '<a href="' . $wpgm . '" title="' . $wdesc . '" class="gensmall"' . $style_color . '>' . $wname . '</a>';

zamień na:
Kod:
$link = '<a href="' . $wpgm . '" title="' . htmlspecialchars(strip_tags($wdesc)) . '" class="gensmall"' . $style_color . '>' . $wname . '</a>';


includes/functions_validate.php
Znajdź:
Kod:
if (strstr($username, '"') || strstr($username, '&') || strstr($username, chr(160)) || strstr($username, '  ') || strstr(stripslashes($username), '\\') || strstr(stripslashes($username), '%')  )

zamień na:
Kod:
if (strstr($username, '"') || strstr($username, '&') || strstr($username, chr(160)) || strstr($username, chr(173)) || strstr($username, '  ') || strstr(stripslashes($username), '\\') || strstr(stripslashes($username), '%')  )


admin/admin_priv_msgs.php
Znajdź:
Kod:
$delete = (isset($HTTP_GET_VARS['delete'])) ? $HTTP_GET_VARS['delete'] : $HTTP_POST_VARS['delete'];

zamień na:
Kod:
$delete = (isset($HTTP_GET_VARS['delete'])) ? intval($HTTP_GET_VARS['delete']) : intval($HTTP_POST_VARS['delete']);

Znajdź:
Kod:
$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;

zamień na:
Kod:
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval($HTTP_GET_VARS['start']) : 0;


privmsg.php
Znajdź:
Kod:
OR privmsgs_type = " . PRIVMSGS_UNERAD_MAIL . " ) ";

zamień na:
Kod:
OR privmsgs_type = " . PRIVMSGS_UNREAD_MAIL . " ) ";

Znajdź:
Kod:
$min_msg_time = CR_TIME - ($msg_days * 86400);

zamień na:
Kod:
$min_msg_time = CR_TIME - ($msg_days * 60);

Komentarz: już kilka albo nawet kilkanaście osób mi zgłaszało, że piszę aby zamienić kod na to samo. Nie. W słowie UNREAD jest zamieniona litera R i E.

templates/subSilver/login_body.tpl
znajdź:
Kod:
<td><input type="password" name="password" size="25" maxlength="25" class="post2" onFocus="Active(this)" onBlur="NotActive(this)" /></td>

zamień na:
Kod:
<td><input type="password" name="password" size="25" maxlength="40" class="post2" onFocus="Active(this)" onBlur="NotActive(this)" /></td>



Dla leniwych i nieposiadających innych modyfikacji - zalecam pobranie ze strony głównej paczki i nadpisanie plików (z wyłączeniem config.php)

Dla wszystkich osób, które nie zaktualizowały jeszcze swojego forum do wersji 1.12.6, serdecznie zapraszam do pobrania nowej wersji (również ze strony głównej)



Dla osób, które nie chcą się bawić w ręczne modyfikowanie plików, załączam plik .patch aktualizujący z wersji 1.12.6 do 1.12.6p1.

patch_1.12.6-to-1.12.6p1.zip
Plik .patch do aktualizacji z wersji 1.12.6 do 1.12.6p1
Instrukcja aktualizacji dla pliku .patch (windows i linux)
Instrukcja ręcznej aktualizacji plików (install_manual.txt)
Pobierz Plik ściągnięto 1745 raz(y) 100,51 KB

_________________
Zanim napiszesz do mnie na GG/PW, koniecznie przeczytaj zasady.
Sygnaturka to nie tablica z ogłoszeniami! PAMIĘTAJ o tym! Nadużywanie i celowe reklamowanie stron jest ZABRONIONE i karalne!
Gość, a czy Ty nie masz sobie nic do zarzucenia?
 
     
Gadatliwa Kasia 

   
sebb2PL

Pomógł: 22 razy
Posty: 181
Wysłany: 28-03-2008, 15:34   

chelloPL napisał/a:
templates/subSilver/login_body.tpl
znajdź:
Kod:
<td><input type="password" name="password" size="25" maxlength="25" class="post2" onFocus="Active(this)" onBlur="NotActive(this)" /></td>

zamień na:
Kod:
<td><input type="password" name="password" size="25" maxlength="40" class="post2" onFocus="Active(this)" onBlur="NotActive(this)" /></td>


To mamy zastosować do każdego stylu ?
 
     
lord.nitos


Pomógł: 80 razy
Posty: 555
Wysłany: 28-03-2008, 15:35   

Raczej tak bo subSilver jest podawany jako przykład :D
 
     
chelloPL



Pomógł: 413 razy
Posty: 2545
Wysłany: 28-03-2008, 15:36   

Jeśli w pozostałych stylach znajduje się ten kod (a na 95% tak), to też.
_________________
Zanim napiszesz do mnie na GG/PW, koniecznie przeczytaj zasady.
Sygnaturka to nie tablica z ogłoszeniami! PAMIĘTAJ o tym! Nadużywanie i celowe reklamowanie stron jest ZABRONIONE i karalne!
Gość, a czy Ty nie masz sobie nic do zarzucenia?
 
     
Centurion



Pomógł: 543 razy
Posty: 1974
Wysłany: 28-03-2008, 17:34   

W załączniku plik patch uwzględniający zmiany między pierwotną wersją 1.12.6 a powyższą poprawką

poprawka1_1.12.6.zip
Pobierz Plik ściągnięto 1049 raz(y) 10,14 KB

_________________
Poza forum pomagam tylko odpłatnie
• przenoszenie/łączenie/naprawianie baz danych
• instalacja/pisanie modów, aktualizacja for z zachowaniem modów
• programowanie php/mysql
 
     
Przemo



Pomógł: 210 razy
Posty: 3144
Wysłany: 28-03-2008, 19:54   

Jednak chcialbym przypomniec, ze mozliwosc wykorzystania XSS w phpBB a tymbardziej w phpBB by Przemo jest znikoma. Musialo by byc spelnionych kilka trudnych warunkow aby taki atak sie udal. Hacker moze wyciagnac ciastka usera ale nic z nimi nie zrobi. Dziala tu tez mechanizm ktory zrobilem - zabezpieczenia moderatorow i adminow gdy maja wlaczone autologowanie, dlatego powinno ono byc wlaczone w panelu admina w konfiguracji ogolnej.

Jednak zastosowanie tej poprawki jest konieczne ! Nigdy nie wiadomo co sie moze stac.
 
     
lord.nitos


Pomógł: 80 razy
Posty: 555
Wysłany: 28-03-2008, 19:55   

Przemo napisał/a:
Jednak chcialbym przypomniec, ze mozliwosc wykorzystania XSS w phpBB a tymbardziej w phpBB by Przemo jest znikoma. Musialo by byc spelnionych kilka trudnych warunkow aby taki atak sie udal. Hacker moze wyciagnac ciastka usera ale nic z nimi nie zrobi.


Ale zawsze to jakaś szansa dla hackera... :D
 
     
sebb2PL

Pomógł: 22 razy
Posty: 181
Wysłany: 28-03-2008, 19:55   

No dobrze ... a mam pytanie:
- czy po wykonaniu tej całej instrukcji zauważę jakieś zmiany na forum ? - mniejsze/większe ?
Ostatnio zmieniony przez sebb2PL 30-03-2008, 21:19, w całości zmieniany 2 razy  
 
     
Przemo



Pomógł: 210 razy
Posty: 3144
Wysłany: 28-03-2008, 20:03   

Mr.Krecik, on nic nie palnal, ma racje, to raczej ty palnales bo to jes tpoprawka bezpieczenstwa wiec nic nie zauwazysz, ewentualnie jakis drobny blad zniknie :)
 
     
koziolek



Pomógł: 675 razy
Posty: 1925
Wysłany: 28-03-2008, 22:01   

fajnie że wyszła poprawka ale może zastosowalibyście ją na tym forum? ;]
mówie o tej odnośnie stylu bo chciałem sobie zmienić hasło ale mam dłuższe niż 32 znaki i mnie nie zaloguje :|
_________________
#4 /xg.xrybvmbx.jjj//:cggu
 
     
maniocek

Pomógł: 30 razy
Posty: 401
Wysłany: 30-03-2008, 10:47   

Zabezpieczyłem swoje forum.
Co przez ten XSS można narobić?
 
     
JrQ-


Pomógł: 147 razy
Posty: 1387
Wysłany: 30-03-2008, 11:23   

Włamać się na forum?
 
     
maniocek

Pomógł: 30 razy
Posty: 401
Wysłany: 30-03-2008, 11:37   

JrQ-, to wiem...
Ale co konkretnie?
Będzie miał dostęp do bazy i plików?
 
     
meschiash

Pomógł: 1 raz
Posty: 103
Wysłany: 30-03-2008, 12:04   

Cross site scripting XSS
_________________
Pozdrawiam Tomasz
Gość pomogłem Tobie? Ciesze się :D | Jeśli Ty mi pomogłeś to dziękuję.
 
     
Gadatliwa Kasia 

   
chelloPL



Pomógł: 413 razy
Posty: 2545
Wysłany: 30-03-2008, 12:53   

maniocek napisał/a:
Co przez ten XSS można narobić?

Ponieważ forum posiada inne zabezpieczenia, dlatego sam XSS nie jest aż tak bardzo niebezpieczny.
Jednak nie muszę chyba przypominać nie tak dawnego błędu w przeglądarkach internetowych, który mógł zostać wykorzystany do wykradnięcia haseł.

Dlatego mimo wszystko zastosowanie tej łatki jest obowiązkowe z punktu widzenia bezpieczeństwa (a powyższa łatka usuwa również inne dość istotne błędy).
_________________
Zanim napiszesz do mnie na GG/PW, koniecznie przeczytaj zasady.
Sygnaturka to nie tablica z ogłoszeniami! PAMIĘTAJ o tym! Nadużywanie i celowe reklamowanie stron jest ZABRONIONE i karalne!
Gość, a czy Ty nie masz sobie nic do zarzucenia?
 
     
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,04 sekundy. Zapytań do SQL: 14
Polecane serwisy



Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a



phpbb

serwis laptopów

Guru Wrocław - skuteczne pozycjonowanie stron w Google

• Zamów reklamę