26

Re: Версия 1.2.13 & 1.2.14

Насколько я помню в punbb 1.2.12 нашли xss, в паблике сплойта нету, и как я понял из апдейта до 1.2.14 ничего по этому поводу не сделано

Сайт Slavik

Поделиться

27

Re: Версия 1.2.13 & 1.2.14

Slavik, читайте внимательно (Please log in or register to see this URL)

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

28

Re: Версия 1.2.13 & 1.2.14

Читать что? То что 1.2.12 закрывает две уязвимости? Но это не значит что новая не появится. Или то что бага описанная на хакере закрыта в 1.2.8? Насколько я знаю хакер.ру никогда не был ведущим секурити-порталом.

Сайт Slavik

Поделиться

29

Re: Версия 1.2.13 & 1.2.14

Slavik пишет:

Читать что? То что 1.2.12 закрывает две уязвимости? Но это не значит что новая не появится.

И? Появиться - закроют. Вы видели хоть один программный продукт, не имеющий уязвимостей? Я не встречал таких.

Slavik пишет:

Или то что бага описанная на хакере закрыта в 1.2.8? Насколько я знаю хакер.ру никогда не был ведущим секурити-порталом.

Опять-таки, при чем тут это?

Вы хотите сказать, что будут еще найдены уязвимости? Возможно, я этого не отрицаю, а говорю лишь про то, что все известные на данный момент уязвимости закрыты.
Или вы можете написать скрипт (хотя бы даже гостевой, я не говорю о форумном движке), который будет идеален и изначально не иметь уязвимостей? Я не могу - это я проверил на себе при переписывании движка гостевой для своего сайта.

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

30

Re: Версия 1.2.13 & 1.2.14

STDux пишет:

И? Появиться - закроют. Вы видели хоть один программный продукт, не имеющий уязвимостей? Я не встречал таких.

Встречал. Сайты на хтмл smile Но речь не про это

STDux пишет:

Вы хотите сказать, что будут еще найдены уязвимости? Возможно, я этого не отрицаю, а говорю лишь про то, что все известные на данный момент уязвимости закрыты.
Или вы можете написать скрипт (хотя бы даже гостевой, я не говорю о форумном движке), который будет идеален и изначально не иметь уязвимостей? Я не могу - это я проверил на себе при переписывании движка гостевой для своего сайта.

Откуда такая уверенность что все найденные баги закрыты? Имею сведения ((Please log in or register to see this URL)) что существует бага, которая в паблике не валяется, но есть люди которые ее знают и при нобходимости смогут использоватьее. При этом дата ее выхода 12.09 и в 1.2.14 она явно неприкрыта (changelog).
Особо с тонкостями гостевух не знаком, но в любом случае достаточно фильтровать все данные от юзера. Лично я punbb вначале выбрал из-за своего размера и затрачиваемых ресурсов хостера, только потом мне открылось что punbb практически не имеет дыр. Но дыры все-таки есть, и даже сам Rickard Andersson не может их знать, если бани не обнародавны всем, то их исправить очень сложно. Я бы не был таким уверенным что ВСЕ БАГИ закрыты.

Сайт Slavik

Поделиться

31

Re: Версия 1.2.13 & 1.2.14

Slavik пишет:

Встречал. Сайты на хтмл smile Но речь не про это

Мда? Думаешь, если на сайте только HTML, то он не уязвим? Зря.

Slavik пишет:

Откуда такая уверенность что все найденные баги закрыты?

Читаем внимательнее:

SDTux пишет:

говорю лишь про то, что все известные на данный момент уязвимости закрыты.

Slavik пишет:

Имею сведения ((Please log in or register to see this URL)) что существует бага, которая в паблике не валяется, но есть люди которые ее знают и при нобходимости смогут использоватьее. При этом дата ее выхода 12.09 и в 1.2.14 она явно неприкрыта (changelog).

Точную ссылку дай - не нашел я там.

Slavik пишет:

Особо с тонкостями гостевух не знаком, но в любом случае достаточно фильтровать все данные от юзера.

Если бы так, то все было бы более чем просто.

Slavik пишет:

даже сам Rickard Andersson не может их знать, если бани не обнародавны всем, то их исправить очень сложно. Я бы не был таким уверенным что ВСЕ БАГИ закрыты.

Еще раз:

SDTux пишет:

говорю лишь про то, что все известные на данный момент уязвимости закрыты.

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

32

Re: Версия 1.2.13 & 1.2.14

в догонку: (Please log in or register to see this URL)

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

33

Re: Версия 1.2.13 & 1.2.14

STDux пишет:

Мда? Думаешь, если на сайте только HTML, то он не уязвим? Зря.

Не подскажешь метод?

STDux пишет:

Точную ссылку дай - не нашел я там.

Поищи в архиве рассылок

STDux пишет:

Если бы так, то все было бы более чем просто.

Если знаком с XSS, тогда будет понятно, что данная уязвимость происходит от недостаточной фильтрации данных от пользователя. Другие уязвимости, практическив в 100% случаях, от недостаточной проверки пользователя, те юзер может сделать больше, чем ему положено, что в принципе тоже самое. Какой случай я забыл рассмотреть?

STDux пишет:

(Please log in or register to see this URL)

Ты про посты hcs? Он абсолютно прав. Но это не значит что если в 2003 году ipb была одна из самых защищенных борд, то сейчас это так же. И если (Please log in or register to see this URL) не выдает ничего вразумительного, то это опять же не значит что punbb неуязвим

Сайт Slavik

Поделиться

34

Re: Версия 1.2.13 & 1.2.14

Slavik пишет:

При этом дата ее выхода 12.09 и в 1.2.14 она явно неприкрыта (changelog).

Я что-то не пойму, ты этот эксплойт сам видел? Ты про это - (Please log in or register to see this URL) ?

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

35

Re: Версия 1.2.13 & 1.2.14

Slavik пишет:

в паблике сплойта нету

Понимаете, есть такая штука, как Advisories, те когда бага есть, а программы, реализующей эту уязвимость нету. Точнее она есть, но только у своего автора

И я не про (Please log in or register to see this URL) скрипт точно, я и сам могу зайти в админку и изменить нужные пункты

Сайт Slavik

Поделиться

36

Re: Версия 1.2.13 & 1.2.14

Slavik пишет:
STDux пишет:

Мда? Думаешь, если на сайте только HTML, то он не уязвим? Зря.

Не подскажешь метод?

Подсказываю - взлом FTP, SSH, DDoS и еще много всего замечательного.

Slavik пишет:
STDux пишет:

Точную ссылку дай - не нашел я там.

Поищи в архиве рассылок

Сайт не грузица у меня пока по каким-то причинам - погляжу позже, но я поиском не нашел, видимо, был не внимателен.

Slavik пишет:

Если знаком с XSS, тогда будет понятно, что данная уязвимость происходит от недостаточной фильтрации данных от пользователя. Другие уязвимости, практическив в 100% случаях, от недостаточной проверки пользователя, те юзер может сделать больше, чем ему положено, что в принципе тоже самое. Какой случай я забыл рассмотреть?

XSS - это не единственный тип уязвимостей.
Чтобы не быть голословным и не объяснять другие примеры, просто сходите по этой ссылке и посмотрите разнообразие уязвимостей для самой популярной никсовой веб-морды управления:
(Please log in or register to see this URL)
а вот список по punbb:
(Please log in or register to see this URL)
Обратите внимание на то, что некоторые уязвимости описаны, как незакрытые, в то время, как они уже давно закрыты.

Slavik пишет:
STDux пишет:

(Please log in or register to see this URL)

Ты про посты hcs? Он абсолютно прав. Но это не значит что если в 2003 году ipb была одна из самых защищенных борд, то сейчас это так же.

Я не про воблу.

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

37

Re: Версия 1.2.13 & 1.2.14

STDux пишет:

Подсказываю - взлом FTP, SSH, DDoS и еще много всего замечательного.

Вы отличаете сайт от сервера? На wiki наверняка есть

STDux пишет:

XSS - это не единственный тип уязвимостей.

подскажите как взломать примерное такой код:

if (!isset($_POST['login'])) {
    echo '<html><body><form method="post" action "script.php"><input type =text name="login"><input type="submit" value="OK"></form></body></html>';
}
    else {
        $login=$_POST['login'];
        $login=addslashes($login);
        $result = mysql_query ("SELECT cash FROM users WHERE login='".$login."'");
        $cash= mysql_fetch_array($result);
        echo $cash[0];
    };

Сайт Slavik

Поделиться

38

Re: Версия 1.2.13 & 1.2.14

Slavik пишет:
STDux пишет:

Подсказываю - взлом FTP, SSH, DDoS и еще много всего замечательного.

Вы отличаете сайт от сервера? На wiki наверняка есть

Ну поехали докапываться до формулировок слов? На вики такое определение, что писец - только веб-сайт. А у слова сайт есть туева хуча значение, например, в формулировке Микрософта сайт ни разу к веб-страницам отношения не имеет - это единица организационной структуры. Кстати, может быть вы еще считаете, что домен - это имя сайта?

Slavik пишет:
STDux пишет:

XSS - это не единственный тип уязвимостей.

подскажите как взломать примерное такой код:

Даже читать код желания нет. Я не говорю про один конкретный пример. Будьте добры - абстрагируйтесь от частностей иначе наш диалог никакого смысла не имеет.

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

39

Re: Версия 1.2.13 & 1.2.14

Я пытался абстрагировать, вы меня не поняли. Повторюсь, все баги из-за недостатчной проверки данных от юзера

Сайт Slavik

Поделиться

40

Re: Версия 1.2.13 & 1.2.14

Забили и проехали, ОК?
Я, к сожалению, так и не смог найти на указанном сайте уязвимость, о которой первоначально шла речь. Ткните пальцем, плиз.

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

41

Re: Версия 1.2.13 & 1.2.14

Уязвимость есть только в теории, поэтому  нет патча. Как патчить если неизвестно что патчить? smile

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

42

Re: Версия 1.2.13 & 1.2.14

hcs, ну хотя бы в теории почитать smile

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

43

Re: Версия 1.2.13 & 1.2.14

(Please log in or register to see this URL)

Сайт Slavik

Поделиться

44

Re: Версия 1.2.13 & 1.2.14

Slavik,

Затронутые продукты: PUNBB:PunBB 1.2

wink Вот это актуальнее, я думаю: (Please log in or register to see this URL) Хотя, надо смотреть...

"Мнение большинства не является критерием истины."

Сайт SDTux

Поделиться

45

Re: Версия 1.2.13 & 1.2.14

В версии 1.2.14 невозможно создать группу на основе модераторов и админов.
Появилась необходимость сделать отдельную группу на основе модераторской.
Подскажите пожалуйста как.

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться

46

Re: Версия 1.2.13 & 1.2.14

Вручну в БД

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

47

Re: Версия 1.2.13 & 1.2.14

А какие таблицы нужно править?
В groups для g_id уже зарезервированы значения id 1 и 2.

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться

48

Re: Версия 1.2.13 & 1.2.14

Насколько я помню проверятеся наличие у юзера gid 1 и 2, то есть если создать группу вручную, то это не поможет

Сайт Slavik

Поделиться

49

Re: Версия 1.2.13 & 1.2.14

Да, не помогло.
Единственное, что получилось, сделать настройки для группы на основе модеров. Но тогда все получают права модеров.

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться

50

Re: Версия 1.2.13 & 1.2.14

На античате нашли уязвимость новой версии PunBB
(Please log in or register to see this URL)
На MyBB ее уже прекрыли, не катит.

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться