InsaneCorp 0 01/12/2010 12:24 PM В очередной раз потребовалась админка форума.Залез и с "радостью" обнаружил в одном из разделов вместо админки вебшелл. Поломан форум.Собственно, теперь хочу либо кстановить форум заново поверх имеющегося, либо (что лучше) - полностью грохнуть форум и поставить с 0.Задача - сохранить БД с юзерами/постами и аддон с вопросами при регистрации юзера и размещении поста гостем.Посоветуйте, как лучше поступить, дабы ничего кроме дизайна не потерять? ;) Share this post Link to post
InsaneCorp 0 01/12/2010 03:01 PM Мммм...Оно позатирает вообще все файлы?) Share this post Link to post
L-7 14 01/12/2010 03:06 PM (edited) Вообще да... Должно...)) Т.е. файлы вы сами удаляете(кроме некоторых папок - можно на IBR почитать) и заливаете дистрибутив 2.3.6 Edited January 12, 2010 by L-7 Share this post Link to post
Zero108 124 01/12/2010 03:08 PM (edited) Мне системщик сказал, что нельзя на форуме разрешать пользователям загружать zip файлы и flv, иначе шелл могут сделать. Edited January 12, 2010 by Zero108 Share this post Link to post
L-7 14 01/12/2010 04:03 PM Zero108, если кому то будет сильно надо - то найдут способ взломать...))) Про FLV ничего не слышал... Share this post Link to post
Zero108 124 01/12/2010 04:14 PM (edited) В flv есть возможность запускать action script на выполнение чего угодно. Поэтому, если разрешить вставлять flv непосредственно в странцу форума и чтобы можно тут же было его и запускать на странице, то могут быть проблемы. К ютубу и рутубу это, насколько мне объяснили, не относится, так как у них там все ролики обрезаются от action script, и идет только видео и звук. Edited January 12, 2010 by Zero108 Share this post Link to post
Sannis 2 01/13/2010 04:47 PM В flv есть возможность запускать action script на выполнение чего угодно. Поэтому, если разрешить вставлять flv непосредственно в странцу форума и чтобы можно тут же было его и запускать на странице, то могут быть проблемы. К ютубу и рутубу это, насколько мне объяснили, не относится, так как у них там все ролики обрезаются от action script, и идет только видео и звук.Расскажите вашему админу про такую вещь, как allowscriptaccess=no :) А уж shell -- почти фантастика. Не говоря уже о том, что все подобные файлы не обрабатываются как скрипты и кроме этого переименовываются при хранении. А скрипт с тем же успехом можно и к JPEG прикрепить. Share this post Link to post
Zero108 124 01/13/2010 06:11 PM (edited) Расскажите мне тогда, о великий, о безопасности IPB в разрее XSS атак через swf Админ, кстати, админит админов. Он просто сказал, что swf вещь дырявая. Мне особо больше и не охота никакие эксперименты ставить насчет возможных уязвимостей через swf. Я знаю, что флэш - это сырая фигня. Edited January 13, 2010 by Zero108 Share this post Link to post
