Объединенный Открытый Проект - Сайт для Настоящих Компьютерщиков

Объединенный Открытый Проект

Сайт для Настоящих Компьютерщиков
Вход на форум
; Логин:
  Пароль:
Обычный
Безопасный
Запомнить пользователя



Зарегистрироваться
Забыли пароль?
Присутствующие
Сейчас просматривают эту тему:

а также: 1 гость, 0 скрытых пользователей.
Последние
  Что лучше ноутбук или обычный ПК?
Хочу asus zenfone 5
Борьба со спамом на форуме
Тотализатор апдейтов Яндекса
Сайт по соционике
RSS
Самые активные 5 т
  RSS
Случайные статьи
 
Объединенный Открытый Проект »   Русский IkonBoard »   Форум поддержки русской версии IkonBoard »   Опасный imho баг!
RSS

Опасный imho баг!

Появился юзер с адмискими правами!

Текущий рейтинг темы: Нет

<<Назад  Вперед>>Модератор: GramПечать
 
trigger
Новичок


Всего сообщений: 25
Рейтинг пользователя: 0





Дата регистрации на форуме:
12 июля 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 16 сентября 2003 21:01
В админцентре в списке юзеров появился юзер с именем "." (просто точка!) С параметрами как у админа (вкючая пароль, звание и тд!) Зайти с таким именем на форум нельзя, но что ЭТО????

Еще заметил баг - в журнале взлома в графе причина записи стоит пустая строка :(

Наверх
BlackWolf
Новичок


Откуда: Петрозаводск
Всего сообщений: 32
Рейтинг пользователя: 0





Дата регистрации на форуме:
19 июня 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 17 сентября 2003 16:48
Есть момент... мне сказали что получить права адмиина вообще не проблема...как и "завалить" форум... Но как не сказали.... :)
Хато показали.... :(
Так что уязвимость где то есть...

---
Иих сила в варварских законах ...их знамя шкуры серой блеск..их воля в древних темных кронах....из мрака созидавших лес
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 2994
Рейтинг пользователя: 79





Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 17 сентября 2003 19:25
trigger - значит, в каком-то из скриптов глюк - по какой-то причине подставил пустое имя пользователя. (Вечная проблема Ib - отсутствие нормальной процедуры сохранения, так что придется "перекапывать" все скрипты).
BlackWolf, а у тебя доступ к Apachевским логам есть? Если да, то можно посмотреть, что там сделали. (Хотя бы будет ясно, где искать).
Кстати, если у тебя не PF, а более ранние версии, то дыра там действительно есть в теге img, причем простая до примитивности.

---
Каждый человек всегда может найти, чем он может быть полезен окружающим. Проблема только в одном: слишком многие не хотят это искать.
Наверх
trigger
Новичок


Всего сообщений: 25
Рейтинг пользователя: 0





Дата регистрации на форуме:
12 июля 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 17 сентября 2003 19:48
XXXX Pro И что делать теперь? Убить этого юзера?
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 2994
Рейтинг пользователя: 79





Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 17 сентября 2003 20:16
Лучше поставь его файлу права доступа 000, тогда им точно никто не воспользуется.

---
Каждый человек всегда может найти, чем он может быть полезен окружающим. Проблема только в одном: слишком многие не хотят это искать.
Наверх
Igor
Долгожитель форума

Igor
Откуда: Раменское
Всего сообщений: 311
Рейтинг пользователя: 1





Дата регистрации на форуме:
8 апр. 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 18 сентября 2003 20:17
BlackWolf дыра в прошлой версией действительно была.. Поищи я выкладывал этот ява скрипт (топик вроде - внимание работает ява скрипт)
Ну а если что новенькое появилось, дык это действительно немного настораживает. Опиши подробней, что показали.

---
FYI  AKA  Shatun
Наверх
trigger
Новичок


Всего сообщений: 25
Рейтинг пользователя: 0





Дата регистрации на форуме:
12 июля 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 19 сентября 2003 20:52
Я только что получил на своем форуме получил админский пароль, просто из брузера....
Наверх
Gram
Модератор раздела

Gram
Откуда: здешний
Всего сообщений: 566
Рейтинг пользователя: 14

Репутация пользователя: 1




Дата регистрации на форуме:
23 июля 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 20 сентября 2003 6:17
trigger
Даже боюсь спрашивать каким образом?
Наверх
JESUS
Новичок

JESUS
Откуда: Минск
Всего сообщений: 249
Рейтинг пользователя: 0





Дата регистрации на форуме:
10 сен. 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 20 сентября 2003 11:13
Gram
опять же глюки с кешированием... с этим надо че-то делать...

---
Your own personal JESUS
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 2994
Рейтинг пользователя: 79





Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 20 сентября 2003 16:25
Про глюки с кешированием могу сказать только одно: либо не хоститься на H1.Ru (там пароль спереть элементарно), либо писать коллективное письмо администрации форума (хотя все равно это вряд ли поможет).
Есть еще один способ, гораздо более радикальный: удалить из формы отправки сообщения (в topic.cgi и post.cgi, там надо найти форму ввода сообщения и удалить value=$inpassword) вывод пароля, но тогда его, может быть, придется вводить каждый раз (хотя это надо проверить, может быть пароль будет браться из cookies).

---
Каждый человек всегда может найти, чем он может быть полезен окружающим. Проблема только в одном: слишком многие не хотят это искать.
Наверх
trigger
Новичок


Всего сообщений: 25
Рейтинг пользователя: 0





Дата регистрации на форуме:
12 июля 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 21 сентября 2003 14:02
Нет, не через кэширование. сейчас напишу XXXXPro в приват как. Кстати, на этом форуме, слава Богу, не работает!
Наверх
BlackWolf
Новичок


Откуда: Петрозаводск
Всего сообщений: 32
Рейтинг пользователя: 0





Дата регистрации на форуме:
19 июня 2003
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 22 сентября 2003 18:19
Мой форум на последнем движке...
Появился пользователь "гость" но с имененм администратора и всеми правами и настройками как у админа... причем он появился в списке юзеров как "Guest".... Доступа к логам у меня нет...как это сделали даже не знаю.. :( Чел который это сделал...скажем так делал это в целях навредить... так что рассказать как это сделано...сами понимаете никак...

---
Иих сила в варварских законах ...их знамя шкуры серой блеск..их воля в древних темных кронах....из мрака созидавших лес
Наверх
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 2994
Рейтинг пользователя: 79





Дата регистрации на форуме:
29 сен. 2001
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 22 сентября 2003 21:18
BlackWolf - ты уверен, что это намеренный взлом, а не глюк скрипта? (Т.е. были ли какие-либо последствия взлома).
А про возможный баг сообщу по внутренней связи (т.е. личным сообщением).

---
Каждый человек всегда может найти, чем он может быть полезен окружающим. Проблема только в одном: слишком многие не хотят это искать.
Наверх
<<Назад  Вперед>>Модератор: GramПечать
Объединенный Открытый Проект »   Русский IkonBoard »   Форум поддержки русской версии IkonBoard »   Опасный imho баг!
RSS
Быстрый переход в раздел:


Время выполнения скрипта: 0.0517. Количество выполненных запросов: 18, время выполнения запросов 0.0281
© 2001-2008, 4X_Pro, Объединенный Открытый Проект.
При использовании материалов сайта ссылка на первоисточник обязательна.
Если первоисточник не указан явно, им следует считать Объединенный Открытый Проект.
Этот форум работает на скрипте Intellect Board 2.22, © 2004-2007, XXXX Pro, Объединенный Открытый Проект