Опубликовано: 12 января 201015 г В очередной раз потребовалась админка форума.Залез и с "радостью" обнаружил в одном из разделов вместо админки вебшелл. Поломан форум.Собственно, теперь хочу либо кстановить форум заново поверх имеющегося, либо (что лучше) - полностью грохнуть форум и поставить с 0.Задача - сохранить БД с юзерами/постами и аддон с вопросами при регистрации юзера и размещении поста гостем.Посоветуйте, как лучше поступить, дабы ничего кроме дизайна не потерять? ;)
Опубликовано: 12 января 201015 г Вообще да... Должно...)) Т.е. файлы вы сами удаляете(кроме некоторых папок - можно на IBR почитать) и заливаете дистрибутив 2.3.6 Изменено 12 января 201015 г пользователем L-7
Опубликовано: 12 января 201015 г Мне системщик сказал, что нельзя на форуме разрешать пользователям загружать zip файлы и flv, иначе шелл могут сделать. Изменено 12 января 201015 г пользователем Zero108
Опубликовано: 12 января 201015 г Zero108, если кому то будет сильно надо - то найдут способ взломать...))) Про FLV ничего не слышал...
Опубликовано: 12 января 201015 г В flv есть возможность запускать action script на выполнение чего угодно. Поэтому, если разрешить вставлять flv непосредственно в странцу форума и чтобы можно тут же было его и запускать на странице, то могут быть проблемы. К ютубу и рутубу это, насколько мне объяснили, не относится, так как у них там все ролики обрезаются от action script, и идет только видео и звук. Изменено 12 января 201015 г пользователем Zero108
Опубликовано: 13 января 201015 г В flv есть возможность запускать action script на выполнение чего угодно. Поэтому, если разрешить вставлять flv непосредственно в странцу форума и чтобы можно тут же было его и запускать на странице, то могут быть проблемы. К ютубу и рутубу это, насколько мне объяснили, не относится, так как у них там все ролики обрезаются от action script, и идет только видео и звук.Расскажите вашему админу про такую вещь, как allowscriptaccess=no :) А уж shell -- почти фантастика. Не говоря уже о том, что все подобные файлы не обрабатываются как скрипты и кроме этого переименовываются при хранении. А скрипт с тем же успехом можно и к JPEG прикрепить.
Опубликовано: 13 января 201015 г Расскажите мне тогда, о великий, о безопасности IPB в разрее XSS атак через swf Админ, кстати, админит админов. Он просто сказал, что swf вещь дырявая. Мне особо больше и не охота никакие эксперименты ставить насчет возможных уязвимостей через swf. Я знаю, что флэш - это сырая фигня. Изменено 13 января 201015 г пользователем Zero108
В очередной раз потребовалась админка форума.
Залез и с "радостью" обнаружил в одном из разделов вместо админки вебшелл. Поломан форум.
Собственно, теперь хочу либо кстановить форум заново поверх имеющегося, либо (что лучше) - полностью грохнуть форум и поставить с 0.
Задача - сохранить БД с юзерами/постами и аддон с вопросами при регистрации юзера и размещении поста гостем.
Посоветуйте, как лучше поступить, дабы ничего кроме дизайна не потерять? ;)