Перейти к содержимому



Движок форума

#11 ZiTosS

ZiTosS
  • Пользователь
  • 5 148 сообщений
  • Репутация: 8
0

Отправлено 26 Ноябрь 2008 - 20:43

Расположение любых элементов можно быстро поменять в шаблонах, возможно даже в версии phpBB3 есть возможность визуально менять элементы не прибегая к редактированию кода. Дизайн на phpBB2 меняется легко и для него в инете много шаблонов.
Дыры - это прорехи в коде скрипта, которые можно использовать в различных целей, от простых(невредящих) до взломных.
Вот нашёл одну большую дыру в phpBB2
_http://drhack.narod.ru/articles/art008.html
  • 0

#12 Bender

Bender
    Topic Starter
  • Пользователь
  • 712 сообщений
  • Репутация: 0

Отправлено 27 Ноябрь 2008 - 16:18

Спасибо, это вроде исправил, не знаю правильно или нет - но вроде работает ;)
Страницы форума стали обновляться как-то по-другому, стали моргать.
А я вчера искалвсякую фигню про phpbb 2 и наткнулся на одном хакерском форуме на такое:

Кому-что известно по уязвимостям phpBB 2.0.23 ?
Непосредственно эксплойта нету. Перехват ID сессии ничего не дает. Вернее у меня пока ничего из этого не получается.


Чесно говоря, что тут написано я особо не понял. Но думаю раз я исправил дыру о которой сказал ZiTosS у него ничего и неполучится ;)
  • 0

#13 ZiTosS

ZiTosS
  • Пользователь
  • 5 148 сообщений
  • Репутация: 8

Отправлено 27 Ноябрь 2008 - 17:03

Дырку исправил это правильно, а вот как ты её исправил этого ты не написал, может что не так сделал, вот и моргает при формировании.
По поводу цитаты... Видел подобное также на одном из хакерских форумов, там написано, что он не может точно определить версию, XSS нет, эксплоит отсутствует, куки ничего не дают ;)

Тогда немножко объясню...
Эксплойт (exploit — использовать) — термин для обозначения части программного кода, который, используя возможности предоставляемые ошибкой, отказом или дыркой(уязв-стью), приводит к повышению привилегий или отказу в обслуживании компьютерной системы.

Если ещё поискать, то думаю можно найти парочку уязвимостей на форумах по безопасности или взлому. Может быть такое, что темы, которые связанный с непосредственным взломом доступны только зарегистрированным пользователям.
Удачи!
  • 0

#14 Bender

Bender
    Topic Starter
  • Пользователь
  • 712 сообщений
  • Репутация: 0

Отправлено 27 Ноябрь 2008 - 19:20

Я вот недавно прочитал что если в phpbb топик закрываешь, то ТС может натворить чего-нибудь плохого...
  • 0

#15 admin

admin
  • Пользователь PRO
  • 5 272 сообщений
  • Репутация: 54

Отправлено 27 Ноябрь 2008 - 19:30

Просто в правах запретить нужно редактирование закрытого топика для ТС
  • 0

Сколько лет прошло, а ссылки всё ещё лучше покупать тут



#16 Bender

Bender
    Topic Starter
  • Пользователь
  • 712 сообщений
  • Репутация: 0

Отправлено 08 Декабрь 2008 - 21:04

Все же помогите пожалуйста с заплаткой дыры

Вот как ее залатать:
1. В файл extension.inc пишем define("PHPBB", 1); 
2. В файл db.php пишем в начало кода

if ( !defined("PHPBB") )
{
die("hacker ??? =) Contact us info@mazafaka.ru");
}


Фаил extension.inc у меня такой
<?php
/***************************************************************************  
 *							   extension.inc
 *							-------------------						 
 *   begin				: Saturday, Feb 13, 2001 
 *   copyright			: (C) 2001 The phpBB Group		
 *   email				: support@phpbb.com						   
 *														  
 *   $Id: extension.inc 2480 2002-04-04 11:52:50Z psotfx $
 *															
 * 
 ***************************************************************************/ 

[b]if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}[/b]

//
// Change this if your extension is not .php!
//
$phpEx = "php";

$starttime = 0;

?>

Мне нужно
define("PHPBB", 1);
писать вместо того что я выделил в [b], выше или ниже?


И по второму такой же вопрос
<?php
/***************************************************************************
 *								 db.php
 *							-------------------
 *   begin				: Saturday, Feb 13, 2001
 *   copyright			: (C) 2001 The phpBB Group
 *   email				: support@phpbb.com
 *
 *   $Id: db.php 5283 2005-10-30 15:17:14Z acydburn $
 *
 *
 ***************************************************************************/

/***************************************************************************
 *
 *   This program is free software; you can redistribute it and/or modify
 *   it under the terms of the GNU General Public License as published by
 *   the Free Software Foundation; either version 2 of the License, or
 *   (at your option) any later version.
 *
 ***************************************************************************/

[b]if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}[/b]

switch($dbms)
{
	case 'mysql':
		include($phpbb_root_path . 'db/mysql.'.$phpEx);
		break;

	case 'mysql4':
		include($phpbb_root_path . 'db/mysql4.'.$phpEx);
		break;

	case 'postgres':
		include($phpbb_root_path . 'db/postgres7.'.$phpEx);
		break;

	case 'mssql':
		include($phpbb_root_path . 'db/mssql.'.$phpEx);
		break;

	case 'oracle':
		include($phpbb_root_path . 'db/oracle.'.$phpEx);
		break;

	case 'msaccess':
		include($phpbb_root_path . 'db/msaccess.'.$phpEx);
		break;

	case 'mssql-odbc':
		include($phpbb_root_path . 'db/mssql-odbc.'.$phpEx);
		break;
}

// Make the database connection.
$db = new sql_db($dbhost, $dbuser, $dbpasswd, $dbname, false);
if(!$db->db_connect_id)
{
	message_die(CRITICAL_ERROR, "Could not connect to the database");
}

?>
Нужно вписать
if ( !defined("PHPBB") )
{
die("hacker ??? =) Contact us info@mazafaka.ru");
}
вместо выделенного в [b], выше или ниже

Спасибо
  • 0

#17 ZiTosS

ZiTosS
  • Пользователь
  • 5 148 сообщений
  • Репутация: 8

Отправлено 08 Декабрь 2008 - 21:51

В обоих случаях в самом начале файла, только лучше после комментариев
1 случай (не вместо а выше)
<?php
/***************************************************************************  
*							   extension.inc
*							-------------------						
*   begin				: Saturday, Feb 13, 2001
*   copyright			: (C) 2001 The phpBB Group		
*   email				: support@phpbb.com						  
*														  
*   $Id: extension.inc 2480 2002-04-04 11:52:50Z psotfx $
*															
*
***************************************************************************/ 

[Тут код который надо добавить]
2 случай
...........................
/***************************************************************************
*
*   This program is free software; you can redistribute it and/or modify
*   it under the terms of the GNU General Public License as published by
*   the Free Software Foundation; either version 2 of the License, or
*   (at your option) any later version.
*
***************************************************************************/

[Тут код который надо добавить]

  • 0

#18 Bender

Bender
    Topic Starter
  • Пользователь
  • 712 сообщений
  • Репутация: 0

Отправлено 09 Декабрь 2008 - 10:44

Спасибо

А нужно делать активацию пользователей по E-mail ?
  • 0

#19 ZiTosS

ZiTosS
  • Пользователь
  • 5 148 сообщений
  • Репутация: 8

Отправлено 09 Декабрь 2008 - 19:12

Именно НУЖНО! Сразу половина регистрирующихся ботов отпадёт! Хотя большая часть это обходит...
Всегда делайте подтверждение по e-mail, от пользователя не убудет, а безопасность не лишняя.
  • 0

#20 Bender

Bender
    Topic Starter
  • Пользователь
  • 712 сообщений
  • Репутация: 0

Отправлено 09 Декабрь 2008 - 19:47

А к вам много ботов прорвается? А то я благодаря вам их не замечаю :)
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru