Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
Zero108

Уязвимость IPB из-за функции поделиться ссылкой через е-мейл

Рекомендованные сообщения

post-32329-0-71703500-1357501080_thumb.jpg

 

Как стало известно из отзывов пользователей, данная функция позволяет боту или человеку, находящемуся в любой группе, а в основном это гости, отсылать спам куда угодно, компрометируя ваш домен. Это приводит к росту спама и заносу вашего домена в черный список спаммером, что приведет к тому, что любые, даже хорошие письма с вашего форума не будут доходить до адресатов.

 

Временной мерой является отключение данного сервиса.

 

Будет ли это признано багом и будет ли выпущено исправление, можно узнать тут.

 

В качестве примера, один из пользователей приводит sql команды, которые можно выполнить, чтобы просмотреть логи вашего форума.

 

Эта команда показывает, сколько писем отсылалось с вашего форума, используя функцию поделиться ссылкой через е-мейл:

 

SELECT DATE_FORMAT(FROM_UNIXTIME(log_date),'%Y-%m') log_date_result, COUNT(*) cnt FROM ibf_core_share_links_log WHERE log_share_key='email' AND log_data_type='topic' AND log_member_id=0 GROUP BY log_date_result, log_member_id ORDER BY log_date_result DESC;

 

Эта команда показывает, с каких ip выполнялись данные рассылки:

 

SELECT DATE_FORMAT(FROM_UNIXTIME(log_date),'%Y-%m') log_date_result, log_ip_address, COUNT(*) FROM ibf_core_share_links_log WHERE log_share_key='email' AND log_data_type='topic' AND log_member_id=0 GROUP BY log_date_result, log_ip_address ORDER BY log_date_result, COUNT(*) DESC;

 

В обеих командах префикс ibf_ заменить на ваш.

 

Ввести команду можно в админке или в phpMyAdmin. В админке команда вводится тут внизу страницы:

AdminCP -> Support -> SQL Management -> SQL Toolbox.

 

Отключить функцию рассылки писем через е-мейл можно тут:

AdminCP -> System -> Share Links -> Email (кликнуть карандаш справа) -> Enabled - No -> Save Chages.

  • Upvote 2

Поделиться сообщением


Ссылка на сообщение

Когда-то давно, в 3.1 кажется эта проблема уже обсуждалась.

Тогда Мэтт придумал капчу там включить.

Поделиться сообщением


Ссылка на сообщение

Зы, перевожу ТС в группу, к которой бот не пристает.

Поделиться сообщением


Ссылка на сообщение

Спасибо.

 

Сейчас ReCaptcha взламывается ботами на раз. Для регистрирующихся на форуме антиспам помогает. А для рассылки по емейл ничего не поможет - ни каптча, ни-че-го.

Поделиться сообщением


Ссылка на сообщение

1. Поставить нормальную капчу

2. Сделать доступным функцию только для зарегистрированных пользователей.

Поделиться сообщением


Ссылка на сообщение

Отключила.

Надо сказать, что отключала когда-то эту функцию. Потом кейкапча появилась, включила.

 

А сейчас у нас капчи вовсе нет. Совсем забыла.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение

1. Поставить нормальную капчу

2. Сделать доступным функцию только для зарегистрированных пользователей.

 

Стандартными средствами это не решить.

Поделиться сообщением


Ссылка на сообщение

Проапгрейдился до 3.4.2. Теперь эта функция вообще не включается.

 

Официальное исправление будет только в версии 3.4.3. По великой милости IPS объяснило, как исправить самостоятельно на версии 3.4.2:

 

1. Открыть /admin/sources/base/core.php

 

Найти и удалить:

 

$skip[] = 'email';

 

2. Открыть /admin/applications/forums/modules_public/extras/forward.php

 

Найти и удалить:

 

/* Remove email share for now @link http://community.inv...m-people-r40680 */
	$this->registry->output->showError( 'forward_turned_off', 103240 );

 

3. Теперь нужно включить сам модуль и выставить права группам.

 

AdminCP -> System -> Share Links -> Email (кликнуть карандаш справа) -> Enabled - Yes -> Save Chages.

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...