Intellect Board — cистема управления сайтом

Построение сайта на основе форума

Intellect Board — cистема управления сайтом »   Архив технической поддержки IntB до версии 2.15 »   Обсуждение уязвимости в версии 2.13
 RSS

Обсуждение уязвимости в версии 2.13

И методов ее более надежного исправления в следующих версиях

Выводить сообщения
Правила раздела

<<Назад  Вперед>>Страницы: 1 2 3
Модераторы: aerograf, wsx		Печать
 
KADABRA
Гость

Ссылка
Игнорировать
Сообщение отправлено: 25 августа 2005 15:54
ИМХО надо просто различать и использовать где надо $_POST и $_GET, f yt ghblevsdfnm dczrbt getvar`ы
Сейчас на форуме
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 16:05
Это еще одна потенциальная уязвимость - если я откажусь от getvar, то придется вручную фильтровать на SQL injection (т.е. проставлять везде addslashes). У меня другая идея: в форуме у каждого пользователя есть так называемый личный ключ - случайная последовательность из 8 символов, которая хранится в базе и в явном виде нигде никому не доступна. Так вот, я добавлю в форму скрытое поле, содержащее MD5-хеш этого ключа, а при обработке формы буду его проверять.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
Наверх
KADABRA
Гость

Ссылка
Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 16:25
XXXX Pro
Это надо будет проверку вставить во ВСЕ формы - от формы для поста до всех форм из админки.
Сейчас на форуме
Наверх
KADABRA
Гость

Ссылка
Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 16:27
Имхо лишнее это.
Легче добавить в getvar необязательный параметр, и если указать его true, то данные берутся только из ПОСТа.
Сейчас на форуме
Наверх
eugrus
Участник Проекта

eugrus
Всего сообщений: 420
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
14 мар. 2005
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 17:31

XXXX Pro написал:
[q]
А это ты как получил?
[/q]

admin/index.php - сразу вылазит это и больше ни чего


XXXX Pro написал:
[q]

Кажется, понял. У тебя в подписи случайно нет ссылок или картинок? Если есть - убери, хотя бы временно.
[/q]

у меня вообще нет подписи

---
Russian UNIX Forums
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 17:52
В админку - по любому придется вставлять везде. А в форму для поста - нафиг?

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 18:01
Кажется, я придумал, как сделать довольно простую реализацию: смотреть, как передается $action - если в GET, то данные тоже берем из GET, если через POST - то берем только через POST. (Т.к. я нигде не использую вызова обработчиков вида <form action="index.php?a=do_something">, т.к. в Opera такая конструкция жутко глючит (в некоторых версиях). Тогда будет достаточно исправить всего три функции в xaphpi.php и действительно не потребуется заморачиваться с ключами.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 18:15
Подумав еще раз, я пришел к выводу, что такое простое решение не поможет...

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
Наверх
eugrus
Участник Проекта

eugrus
Всего сообщений: 420
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
14 мар. 2005
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 18:20
XXXX Pro
А как пока что можно попасть в админку :confuse

---
Russian UNIX Forums
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 25 августа 2005 19:22
Никак не могу воспроизвести твою ошибку. Только что поставил оба обвновленных файла поверх "чистого" дистрибутива (т.е. стандартного IntB 2.13 без каких-либо модификаций). Проверь еще раз файл iboard.php, возможно, дело в слетевших настройках, а также наличие файла xaphpi.php.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
Наверх
<<Назад  Вперед>>Страницы: 1 2 3
Модераторы: aerograf, wsx		Печать
Intellect Board — cистема управления сайтом »   Архив технической поддержки IntB до версии 2.15 »   Обсуждение уязвимости в версии 2.13
 RSS

1 посетитель просмотрел эту тему за последние 10 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
Ограничение доступа
не отображаются разделы
Архив версий
Установка стиля на Intellect Board 2.22
Завершилась работа над новой версией 3.00

Самые активные 5 тем RSS


Время выполнения скрипта: 0.1454. Количество выполненных запросов: 18, время выполнения запросов 0.0000
Creative Commons License Rambler's Top100 Rambler's Top100 Рейтинг@Mail.ru Valid HTML 4.01 Transitional Valid CSS!
Этот форум работает на скрипте Intellect Board 2.20, © 2004-2007, 4X_Pro, Объединенный Открытый Проект
© 2004-2017, 4X_Pro, Объединенный Открытый Проект