January 12, 201015 yr В очередной раз потребовалась админка форума.Залез и с "радостью" обнаружил в одном из разделов вместо админки вебшелл. Поломан форум.Собственно, теперь хочу либо кстановить форум заново поверх имеющегося, либо (что лучше) - полностью грохнуть форум и поставить с 0.Задача - сохранить БД с юзерами/постами и аддон с вопросами при регистрации юзера и размещении поста гостем.Посоветуйте, как лучше поступить, дабы ничего кроме дизайна не потерять? ;)
January 12, 201015 yr Вообще да... Должно...)) Т.е. файлы вы сами удаляете(кроме некоторых папок - можно на IBR почитать) и заливаете дистрибутив 2.3.6 Edited January 12, 201015 yr by L-7
January 12, 201015 yr Мне системщик сказал, что нельзя на форуме разрешать пользователям загружать zip файлы и flv, иначе шелл могут сделать. Edited January 12, 201015 yr by Zero108
January 12, 201015 yr Zero108, если кому то будет сильно надо - то найдут способ взломать...))) Про FLV ничего не слышал...
January 12, 201015 yr В flv есть возможность запускать action script на выполнение чего угодно. Поэтому, если разрешить вставлять flv непосредственно в странцу форума и чтобы можно тут же было его и запускать на странице, то могут быть проблемы. К ютубу и рутубу это, насколько мне объяснили, не относится, так как у них там все ролики обрезаются от action script, и идет только видео и звук. Edited January 12, 201015 yr by Zero108
January 13, 201015 yr В flv есть возможность запускать action script на выполнение чего угодно. Поэтому, если разрешить вставлять flv непосредственно в странцу форума и чтобы можно тут же было его и запускать на странице, то могут быть проблемы. К ютубу и рутубу это, насколько мне объяснили, не относится, так как у них там все ролики обрезаются от action script, и идет только видео и звук.Расскажите вашему админу про такую вещь, как allowscriptaccess=no :) А уж shell -- почти фантастика. Не говоря уже о том, что все подобные файлы не обрабатываются как скрипты и кроме этого переименовываются при хранении. А скрипт с тем же успехом можно и к JPEG прикрепить.
January 13, 201015 yr Расскажите мне тогда, о великий, о безопасности IPB в разрее XSS атак через swf Админ, кстати, админит админов. Он просто сказал, что swf вещь дырявая. Мне особо больше и не охота никакие эксперименты ставить насчет возможных уязвимостей через swf. Я знаю, что флэш - это сырая фигня. Edited January 13, 201015 yr by Zero108
В очередной раз потребовалась админка форума.
Залез и с "радостью" обнаружил в одном из разделов вместо админки вебшелл. Поломан форум.
Собственно, теперь хочу либо кстановить форум заново поверх имеющегося, либо (что лучше) - полностью грохнуть форум и поставить с 0.
Задача - сохранить БД с юзерами/постами и аддон с вопросами при регистрации юзера и размещении поста гостем.
Посоветуйте, как лучше поступить, дабы ничего кроме дизайна не потерять? ;)