Уязвимость IPB из-за функции поделиться ссылкой через е-мейл - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

Правила раздела

Здесь обсуждаются вопросы по настройке и администрированию форумов IPB 3.x.
Пожалуйста, не оффтопьте, если зашли сюда случайно, и обратите внимание на соседние разделы.
Установка, настройка и обслуживание форумов IPB 2.x.
Оформление форумов, включая верстку скинов.
Размещение рекламы на форумах.
SEO оптимизация форума.
Техническая поддержка наших скинов и модов.

СвернутьПрикрепленные теги

Теги не найдены

Страница 1 из 1

Уязвимость IPB из-за функции поделиться ссылкой через е-мейл временный способ решения проблемы, пока не вышел патч

#1 Пользователь не на сайте   Zero108 ответил: »

 
 
  • Advanced
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 556
  • Регистрация: 25-Июль 09
  • Репутация: 92
  • IPB version:4.1.x
 

Отправлено 06 Январь 2013 - 22:45

Вложение  112.jpg (24,25К)
Количество загрузок: 45

Как стало известно из отзывов пользователей, данная функция позволяет боту или человеку, находящемуся в любой группе, а в основном это гости, отсылать спам куда угодно, компрометируя ваш домен. Это приводит к росту спама и заносу вашего домена в черный список спаммером, что приведет к тому, что любые, даже хорошие письма с вашего форума не будут доходить до адресатов.

Временной мерой является отключение данного сервиса.

Будет ли это признано багом и будет ли выпущено исправление, можно узнать тут.

В качестве примера, один из пользователей приводит sql команды, которые можно выполнить, чтобы просмотреть логи вашего форума.

Эта команда показывает, сколько писем отсылалось с вашего форума, используя функцию поделиться ссылкой через е-мейл:

SELECT DATE_FORMAT(FROM_UNIXTIME(log_date),'%Y-%m') log_date_result, COUNT(*) cnt FROM ibf_core_share_links_log WHERE log_share_key='email' AND log_data_type='topic' AND log_member_id=0 GROUP BY log_date_result, log_member_id ORDER BY log_date_result DESC;


Эта команда показывает, с каких ip выполнялись данные рассылки:

SELECT DATE_FORMAT(FROM_UNIXTIME(log_date),'%Y-%m') log_date_result, log_ip_address, COUNT(*) FROM ibf_core_share_links_log WHERE log_share_key='email' AND log_data_type='topic' AND log_member_id=0 GROUP BY log_date_result, log_ip_address ORDER BY log_date_result, COUNT(*) DESC;


В обеих командах префикс ibf_ заменить на ваш.

Ввести команду можно в админке или в phpMyAdmin. В админке команда вводится тут внизу страницы:
AdminCP -> Support -> SQL Management -> SQL Toolbox.

Отключить функцию рассылки писем через е-мейл можно тут:
AdminCP -> System -> Share Links -> Email (кликнуть карандаш справа) -> Enabled - No -> Save Chages.
2

#2 Пользователь не на сайте   Fisana ответил: »

 
 
  • На PM не отвечаю
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 13 190
  • Регистрация: 21-Ноябрь 05
  • Репутация: 695
  • Откуда:Из интернетов
  • IPB version:3.1.x
 

Отправлено 06 Январь 2013 - 22:56

Когда-то давно, в 3.1 кажется эта проблема уже обсуждалась.
Тогда Мэтт придумал капчу там включить.
0

#3 Пользователь не на сайте   Fisana ответил: »

 
 
  • На PM не отвечаю
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 13 190
  • Регистрация: 21-Ноябрь 05
  • Репутация: 695
  • Откуда:Из интернетов
  • IPB version:3.1.x
 

Отправлено 06 Январь 2013 - 22:56

Зы, перевожу ТС в группу, к которой бот не пристает.
0

#4 Пользователь не на сайте   Zero108 ответил: »

 
 
  • Advanced
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 556
  • Регистрация: 25-Июль 09
  • Репутация: 92
  • IPB version:4.1.x
 

Отправлено 06 Январь 2013 - 22:59

Спасибо.

Сейчас ReCaptcha взламывается ботами на раз. Для регистрирующихся на форуме антиспам помогает. А для рассылки по емейл ничего не поможет - ни каптча, ни-че-го.
0

#5 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 271
  • Регистрация: 20-Март 09
  • Репутация: 2 077
  • IPB version:3.1.x
 

Отправлено 06 Январь 2013 - 23:07

1. Поставить нормальную капчу
2. Сделать доступным функцию только для зарегистрированных пользователей.
0

#6 Пользователь не на сайте   Fisana ответил: »

 
 
  • На PM не отвечаю
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 13 190
  • Регистрация: 21-Ноябрь 05
  • Репутация: 695
  • Откуда:Из интернетов
  • IPB version:3.1.x
 

Отправлено 06 Январь 2013 - 23:07

Отключила.
Надо сказать, что отключала когда-то эту функцию. Потом кейкапча появилась, включила.

А сейчас у нас капчи вовсе нет. Совсем забыла.
1

#7 Пользователь не на сайте   Zero108 ответил: »

 
 
  • Advanced
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 556
  • Регистрация: 25-Июль 09
  • Репутация: 92
  • IPB version:4.1.x
 

Отправлено 06 Январь 2013 - 23:16

Просмотреть сообщениеsiv1987 06 Январь 2013 - 23:07 сказал(а):

1. Поставить нормальную капчу
2. Сделать доступным функцию только для зарегистрированных пользователей.


Стандартными средствами это не решить.
0

#8 Пользователь не на сайте   Zero108 ответил: »

 
 
  • Advanced
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 556
  • Регистрация: 25-Июль 09
  • Репутация: 92
  • IPB version:4.1.x
 

Отправлено 23 Январь 2013 - 23:24

Проапгрейдился до 3.4.2. Теперь эта функция вообще не включается.

Официальное исправление будет только в версии 3.4.3. По великой милости IPS объяснило, как исправить самостоятельно на версии 3.4.2:

1. Открыть /admin/sources/base/core.php

Найти и удалить:

$skip[] = 'email';


2. Открыть /admin/applications/forums/modules_public/extras/forward.php

Найти и удалить:

/* Remove email share for now @link http://community.inv...m-people-r40680 */
		$this->registry->output->showError( 'forward_turned_off', 103240 );


3. Теперь нужно включить сам модуль и выставить права группам.

AdminCP -> System -> Share Links -> Email (кликнуть карандаш справа) -> Enabled - Yes -> Save Chages.
0

Сообщить об этой теме:


Страница 1 из 1


Быстрый ответ

  

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна