PunBB по-русски — Версия 1.2.13 & 1.2.14

Re: Версия 1.2.13 & 1.2.14

null@example.com (Slavik) — Sun, 19 Nov 2006 17:07:01 +0000

А modern bb тоже ломается? Там же вроде переписан тег email. Чета лень ковырять коды символов... Но если ломается, тогда незочот Рикарду

Re: Версия 1.2.13 & 1.2.14

null@example.com (coordinator) — Sun, 19 Nov 2006 15:23:42 +0000

На античате нашли уязвимость новой версии PunBB
forum.antichat.ru/threadnav26304-1-10-MyBB.html
На MyBB ее уже прекрыли, не катит.

Re: Версия 1.2.13 & 1.2.14

null@example.com (coordinator) — Sat, 11 Nov 2006 19:52:16 +0000

Да, не помогло.
Единственное, что получилось, сделать настройки для группы на основе модеров. Но тогда все получают права модеров.

Re: Версия 1.2.13 & 1.2.14

null@example.com (Slavik) — Sat, 11 Nov 2006 19:35:52 +0000

Насколько я помню проверятеся наличие у юзера gid 1 и 2, то есть если создать группу вручную, то это не поможет

Re: Версия 1.2.13 & 1.2.14

null@example.com (coordinator) — Sat, 11 Nov 2006 19:18:48 +0000

А какие таблицы нужно править?
В groups для g_id уже зарезервированы значения id 1 и 2.

Re: Версия 1.2.13 & 1.2.14

null@example.com (hcs) — Sat, 11 Nov 2006 13:50:14 +0000

Вручну в БД

Re: Версия 1.2.13 & 1.2.14

null@example.com (coordinator) — Sat, 11 Nov 2006 09:01:59 +0000

В версии 1.2.14 невозможно создать группу на основе модераторов и админов.
Появилась необходимость сделать отдельную группу на основе модераторской.
Подскажите пожалуйста как.

Re: Версия 1.2.13 & 1.2.14

null@example.com (SDTux) — Thu, 02 Nov 2006 02:39:49 +0000

Slavik,

Затронутые продукты: PUNBB:PunBB 1.2

Вот это актуальнее, я думаю: www.securitylab.ru/vulnerability/276246.php Хотя, надо смотреть...

Re: Версия 1.2.13 & 1.2.14

null@example.com (Slavik) — Wed, 01 Nov 2006 14:27:33 +0000

www.security.nnov.ru/Gnews755.html

Re: Версия 1.2.13 & 1.2.14

null@example.com (SDTux) — Sun, 22 Oct 2006 14:52:20 +0000

hcs, ну хотя бы в теории почитать

Re: Версия 1.2.13 & 1.2.14

null@example.com (hcs) — Sun, 22 Oct 2006 13:57:54 +0000

Уязвимость есть только в теории, поэтому нет патча. Как патчить если неизвестно что патчить?

Re: Версия 1.2.13 & 1.2.14

null@example.com (SDTux) — Sun, 22 Oct 2006 13:13:24 +0000

Забили и проехали, ОК?
Я, к сожалению, так и не смог найти на указанном сайте уязвимость, о которой первоначально шла речь. Ткните пальцем, плиз.

Re: Версия 1.2.13 & 1.2.14

null@example.com (Slavik) — Sun, 22 Oct 2006 11:49:01 +0000

Я пытался абстрагировать, вы меня не поняли. Повторюсь, все баги из-за недостатчной проверки данных от юзера

Re: Версия 1.2.13 & 1.2.14

null@example.com (SDTux) — Sun, 22 Oct 2006 10:28:00 +0000

Slavik пишет:

STDux пишет:
Подсказываю - взлом FTP, SSH, DDoS и еще много всего замечательного.
Вы отличаете сайт от сервера? На wiki наверняка есть

Ну поехали докапываться до формулировок слов? На вики такое определение, что писец - только веб-сайт. А у слова сайт есть туева хуча значение, например, в формулировке Микрософта сайт ни разу к веб-страницам отношения не имеет - это единица организационной структуры. Кстати, может быть вы еще считаете, что домен - это имя сайта?

Slavik пишет:

STDux пишет:
XSS - это не единственный тип уязвимостей.
подскажите как взломать примерное такой код:

Даже читать код желания нет. Я не говорю про один конкретный пример. Будьте добры - абстрагируйтесь от частностей иначе наш диалог никакого смысла не имеет.

Re: Версия 1.2.13 & 1.2.14

null@example.com (Slavik) — Sun, 22 Oct 2006 08:46:02 +0000

STDux пишет:

Подсказываю - взлом FTP, SSH, DDoS и еще много всего замечательного.

Вы отличаете сайт от сервера? На wiki наверняка есть

STDux пишет:

XSS - это не единственный тип уязвимостей.

подскажите как взломать примерное такой код:

if (!isset($_POST['login'])) {
    echo '';
}
    else {
        $login=$_POST['login'];
        $login=addslashes($login);
        $result = mysql_query ("SELECT cash FROM users WHERE login='".$login."'");
        $cash= mysql_fetch_array($result);
        echo $cash[0];
    };