Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в движке для создания форумов phpBB, opennews (??), 21-Ноя-18, (0) [смотреть все] Помню, лет 10 назад создавал на нём форум, будучи ещё зелёным в вебе Хороший дв, Qwerty (??), 09:51 , 21-Ноя-18, (1) +2 // ну, не считая того что у авторов был и остался очень странный подход к пониманию, нах (?), 10:18 , 21-Ноя-18, (2) +3 Тогда функция должна называться file_exists_and_maybe_handle_metadata_of_phar , Аноним (3), 10:31 , 21-Ноя-18, (3) +7 // file_exists_or_may_be_we_just_exec_it_as_code , нах (?), 11:24 , 21-Ноя-18, (7) +4 // php_real_escape_file жеhttps dev mysql com doc refman 8 0 en mysql-real-escape, kai3341 (ok), 05:06 , 22-Ноя-18, (25) +1 Напоминает Glib с очень длинными функциями Но там это более-менее оправдано пр, Аноним (9), 12:01 , 21-Ноя-18, (9) Метаданные просто надо json хранить блин догадались, serialize, vitalif (ok), 12:51 , 21-Ноя-18, (14) диагноз php головного мозга, анан (?), 10:38 , 21-Ноя-18, (4) –1 // Авторы пыха добавили свой новый нескучный протокол phar , а виноваты конечные , Аноним (3), 10:42 , 21-Ноя-18, (5) +4 // там круче - они может и предусмотрели грамотные авторы проверяют попадание в _д, нах (?), 11:23 , 21-Ноя-18, (6) если быть точным, то неверно составлена фраза комментатором Ошибка именно в пров, КО (?), 12:07 , 21-Ноя-18, (11) +2 Это настолько элегантный способ опустить всех пыхеров, что я просто ощущаю небыв, Аноним (10), 12:06 , 21-Ноя-18, (10) –2 // Не забудьте обсудить это с психологом , Hgtuugt (?), 17:57 , 21-Ноя-18, (22) Блин, вот serialize в phar это реально идиотизм , vitalif (ok), 12:20 , 21-Ноя-18, (12) phpBB - наверное, один из самых дырявых php-поделий в мире Ещё больше 10 лет на, th3m3 (ok), 13:04 , 21-Ноя-18, (15) –5   // Порекомендуйте что-то хорошее, пожалуйста, Попугай Кеша (?), 13:16 , 21-Ноя-18, (16)   // Если на php - то самый безопасный, всегда был и остаётся SMF , th3m3 (ok), 14:55 , 21-Ноя-18, (19) +1   Чтоб обойти стороной PHP, я бы попробовал YaBB https ru wikipedia org wiki Y, КГБ СССР (?), 12:42 , 22-Ноя-18, (26) –1   // http www yabbforum com cgi-bin community YaBB pl board russian- все что нужно , пох (?), 20:12 , 22-Ноя-18, (28)   Это говорит лишь о том, что рукожопы, пишущие туда по-русски, не умеют выбирать , КГБ СССР (?), 22:32 , 22-Ноя-18, (30)   Там ньюфагов подстерегает другая печаль внутри лапша из перлового кода и размет, КГБ СССР (?), 22:42 , 22-Ноя-18, (31)   Память вас подводит В phpBB 3 0, который с 2007 года был актуален более 5 лет, , VEG (ok), 14:09 , 21-Ноя-18, (18) +4   Слабенькая уязвимость Как правило, если пользователь имеет доступ к форуму как , VEG (ok), 14:01 , 21-Ноя-18, (17) +3 Лучший двиг интернета из всех , Аноним (21), 17:57 , 21-Ноя-18, (21) –1 Не совсем понял, в чём тут уязвимость Для эксплуатации нужен доступ с правами а, Онаним (?), 00:32 , 22-Ноя-18, (23) Я надеюсь, что в свежем ПХП функция preg-match, проверяющая строку, содержащую , Anonimous (?), 00:48 , 22-Ноя-18, (24) +4 кто в теме, покажите как создать этот самый phar файл и что ему надо дописать ч, domov0y (?), 15:36 , 22-Ноя-18, (27) –1 1,3,4,10,12,15,17,21,23,24,27

Сообщения

[Сортировка по времени | RSS]

15. "Уязвимость в движке для создания форумов phpBB"	–5 +/–
Сообщение от th3m3 (ok), 21-Ноя-18, 13:04
phpBB - наверное, один из самых дырявых php-поделий в мире. Ещё больше 10 лет назад, помню - столько дырок было. И вот спустя столько времени, ничего не меняется.
Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимость в движке для создания форумов phpBB"	+/–
	Сообщение от Попугай Кеша (?), 21-Ноя-18, 13:16
	Порекомендуйте что-то хорошее, пожалуйста
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в движке для создания форумов phpBB"	+1 +/–
	Сообщение от th3m3 (ok), 21-Ноя-18, 14:55
	> Порекомендуйте что-то хорошее, пожалуйста Если на php - то самый безопасный, всегда был и остаётся SMF.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в движке для создания форумов phpBB"	–1 +/–
	Сообщение от КГБ СССР (?), 22-Ноя-18, 12:42
	Чтоб обойти стороной PHP, я бы попробовал YaBB [ https://ru.wikipedia.org/wiki/YaBB ].
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	28. "Уязвимость в движке для создания форумов phpBB"	+/–
	Сообщение от пох (?), 22-Ноя-18, 20:12
	http://www.yabbforum.com/cgi-bin/community/YaBB.pl?board=rus... - все что нужно знать об этом ненужно. то есть оно a) тупило с минуту, прежде чем открыться b) потребовало вручную переключить кодировку в 1251. (это, если что, нормальный выбор кодировки - ненормально неумение авторов настроить собственный сервер так, чтобы русскоязычный кусок форума показывался правильно) если хочется совсем без php - ищите в архивах пиратских сайтов 200х годов wwwthreads до-phpшной версии. Баг с sql code exec только не забудьте вручную исправить, а то его, по-моему, только в php поправили. но там не будет модных пищалок,перделок, логина всосапом и прочих полезных и нужных функций, только форум, предназначенный именно для общения,а не для размещения ссылок на торренты или еще чего в этом роде.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в движке для создания форумов phpBB"	+/–
	Сообщение от КГБ СССР (?), 22-Ноя-18, 22:32
	Это говорит лишь о том, что рукожопы, пишущие туда по-русски, не умеют выбирать браузеры, которые правильно определяют кодировки. (Привычка, знаете ли, ляп-ляп-ляп — и в продакшын.) Эта страничка сделана в ISO-8859-1. Да, внезапно, кто ж такого мог ждать от американцев. :) Но внутри движка (я посмотрел) шаблоны сделаны для белых прогрессивных людей, везде обещают нам UTF-8. И даже HTML5.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в движке для создания форумов phpBB"	+/–
	Сообщение от КГБ СССР (?), 22-Ноя-18, 22:42
	Там ньюфагов подстерегает другая печаль: внутри лапша из перлового кода и разметки. Всё как в старые добрые времена. В таком вот стиле: $yymain .= qq~ # А между тильдами разметка HTML с вкраплениями перловых же переменных. ~ Не, ну можно разобраться и даже поправить, если вдруг что.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	18. "Уязвимость в движке для создания форумов phpBB"	+4 +/–
	Сообщение от VEG (ok), 21-Ноя-18, 14:09
	Память вас подводит. В phpBB 3.0, который с 2007 года был актуален более 5 лет, действительно критичных уязвимостей найдено не было. А с правами администратора всегда можно было дел наделать. Возмоно, вы вспоминаете времена phpBB 2.x, в котором действительно была найдена парочка опасных уязвимостей. Но при работе над 3.0 над этим неплохо поработали.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема