 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 24.11.2024 - 13:50:09
Безопасность wr скриптов.| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
cyber •
C гость
|
В данной теме обсуждаются вопросы безопасности wr скриптов. И только.
Вообщем начнём.
По оперативной информации вот WR-Forum 1.7:
Цитата:
Уязвимость в форуме WR-Forum 1.7 позволяющая злоумышленнику обойти ограничение
безопасности возникающая из-за недостаточной обработки входных данных
в файле cookies. Удаленный пользователь может войти в систему под любой учетной
записью.
Пример:
Нашел сайт с бажным форумом -> зарегистрировался -> вошел под зарегистрированным
пользователем ->запустил прогу Cookie Editor->нашел кукисы форума ->
увидел там что типо этого: NICK%7Cpass%7C1137084043%7C1137084043%7C ->
вместо Nick подставил любую учетную
существующую запись на этом форуме ->The End
|
Информация предоставленна:
http://gfs.jino-net.ru
Мои коментарии по поводу найденной уязвимости:
Уязвимость не очень функциональная, появляется возможность писать сообщения от администратора, но не больше... Так что не даёт много функция и доступ к админ панели.
Наверное придётся переписать всю технологию авторизации, но ничего не поделаешь...
От себя хочу добавить.
WR-Faq:
http://wr.kovostok.ru/wr-faq/
Советую поменять дефолтные пароли на другие, пока не не додумались залить shell с помощью админ-панели (а это дело времени).
На сегодня всё, ждите ещё новости, а вам уважаемый WR остаётся латать дыры.
P.S Все вопросы и предложения в ICQ#: 4714772. | |
|
| Сообщение # 1 |
14.01.06 - 22:27:27
|  |
midav •
M гость
|
 довольноинтересный сайт, прочитал штук десяток статей | |
|
| Сообщение # 2 |
15.01.06 - 01:42:30
| |
cyber •
C гость
|
Цитата:
Уязвимость в галерее WR-Gallery версии 1.1 позволяющая злоумышленнику
выполнить в системе произвольный php код.
Пример:
Создается текстовой файл с php кодом, переименовывается например как
shell.php.jpg и заливается вместо картинки потом открывается url по адресу
http://[site]/wr-gallery/data/shell.php.jpg
|
Цитата:
Уязвимость в форуме WR-Forum версии 1.7 позволяющая злоумышленнику
выполнить в системе произвольный php код.
Пример:
Создается текстовой файл с php кодом, переименовывается например как
shell.php.jpg и заливается вместо авватара потом открывается url по адресу
http://[site]/wr-forum/avatars/shell.php.jpg
|
Информация предоставлена: http://gfs.jino-net.ru | |
|
| Сообщение # 3 |
18.01.06 - 09:03:12
| |
WR •
W Участник форума
|
cyber, я щас здесь ещё поругаюсь.
1. Во-первых ПРОШУ УДАЛИТЬ ВСЕ СООБЩЕНИЯ о уязвимости всех моих скриптов. Я всё понял, заплатки будут - ОБЕЩАЮ. Вопрос только во времени. ВСЕ заплатки всегда будут бесплатными. ДЛЯ всех скриптов.
2. Смотри кибер: <? ?> " ' I \ / * -+ - любые символы пропускает. А у тебя - нет.
Люди, конечно, в последнее время пошли...
 | |
|
| Сообщение # 4 |
18.01.06 - 12:23:16
|
|
cyber •
C гость
|
WR,
Ты так непереживай...
Только е пойму что случилось...
Ну уязвимости будут публиковаться в этой теме...
Ты всё успеешь залатать и всё...
Всё равно большенство не знают как их использовать даже...
И ещё они не дают большого результата...
Я лично за то, что бы тема жила...
Всё же нужная штуку... Ещё как удалять сообщения?
У меня этой функции нету :) | |
|
| Сообщение # 5 |
18.01.06 - 12:38:23
| |
midav •
M гость
|
WR, может пригодиться, помню гдето в нете нашел
Код: ======
Советы
======
1) Желательно не создавать конфиги, которые можно прочесть из веба. Конфиг надо класть выше папки веб-сервера или создавать в таком типе файла, который нельзя прочесть из браузера (например, *.inc не на всех веб-серверах запускается, как PHP-скрипт, а просто открывается как текстовый файл). Так что давайте имена таким файлам с расширением *.php.
2) Никогда не делайте пароль на доступ к SQL-базе таким же, как и на FTP. А если у вас на хостинге по умолчанию так и сделано (пароли одинаковые), то требуйте от хостера чтобы он сделал их разными, т.к. если хакер получит веб-шел на сервер и сможет прочесть конфиг с паролем к SQL-базе => сможет получить FTP-доступ.
3) Шифруйте все пароли доступа к различным закрытым зонам специальными ф-циями, например md5(). Если хакер сможет получить базу с такими паролями, то расшифровать их будет проблематично.
4) Следите за обновлениями самой версии PHP (http://www.php.net) и своевременно обновляйте ее при выходе новой стабильной версии, потому что не только PHP-код может таить в себе уязвимость, но и сам интерпретатор языка (я думаю все помнят о PHP 4.0.2-4.0.7 которая позволяла удаленно открыть веб-шел).
5) По возможности давайте не распространенные имена к конфигам с паролями (cfg.php и т.д., а не config.php или conf.php), т.к. это затруднит поиск конфигов с помощью поиска по файлам сервера (find / -name conf*) хакером.
6) Не пренебрегайте возможностью сделать HTTP-аутификацию средствами PHP, особенно если нет возможности это сделать на уровне Апача (.htaccess и .htpasswd). Более подробно о таком виде аутификации и других видах можете прочесть в серии статей "Авторизация доступа" (http://www.web-hack.ru/books/books.php?go=37).
7) По возможности держите ваш PHP в режиме safe mode (safe_mode=on). Так же советую вырубить инициализацию глобальных переменных (register_globals=off) и возможность fonen() открывать адреса из веба (allow_url_fopen=off). Еще можно запретить опасные ф-ции:
disable_functions=phpinfo,system,passthru
8) Если пишите гостевуху и т.п., то не забывайте ставить фильтрацию во всех формах (ник, мыло и т.д.) на теги с помощь ф-ции htmlspecialchars(). Кстати, если в теле сообщений нужно использовать теги, то лучше сделать свои (типа [B][/B] и т.д.), а не делать фильтры на запрещение не нужных.
9) Шифруйте исходники на PHP и особенно конфиги с помощью Zend Optimizer (http://www.zend.com). |
| |
|
| Сообщение # 6 |
20.01.06 - 23:28:28
| |
WR •
W Участник форума
|
|
| Сообщение # 7 |
23.01.06 - 07:54:59
| |
S@murai •
S гость
|
midav, чем чем шифровать? И как?  | |
|
| Сообщение # 8 |
23.01.06 - 08:25:41
| |
midav •
M гость
|
S@murai, md5 шифровать | |
|
| Сообщение # 9 |
23.01.06 - 14:00:15
| |
S@murai •
S гость
|
midav, а это как ???
как код можно шифровать расскажи подробнее!!!
ПЛЫЗЬ!!!  | |
|
| Сообщение # 10 |
23.01.06 - 14:09:38
| |
Wm-Master •
W гость
|
Очень всё просто. В базу заносим не сам пароль, а его МД5-код который генерим функцией md5($parol_pri_registratsii)
При авторизации сравниваем: если МД5 от введённого юзером пароля совпадает с тем что в базе, то авторизация идёт дальше - если нет-пароли несовпадают и юзер незаходит.
т.е If (md5($vvedenyi_parol_of_user)==$md5_iz_bazu) {
заходим...
} else { оболом }
Если злоумышленик даже узнает МД5 код пароля - сам пароль он не сможет востановить - это нереально даже для мощных машин. Одно но: напоминание пароля не будет работать - нужно будет генерить новый и отсылать на мыло юзеру. | |
|
| Сообщение # 11 |
14.02.06 - 03:52:32
| |
pash_ka •
P гость
|
Кстати, по поводу подмены имени юзера в куках. (о чем писал cyber в первом посте). Если это до сих пор живет...
То получается, любой человек может узнать пароль любого юзера!!! Потому что он показан окрытым текстом в профиле. А вы говорите - только пиаать от чьего-то имени... | |
|
| Сообщение # 12 |
23.03.06 - 15:45:59
| |
|
Главная сайта
. В скором времени создам ветку на форуме: Безопасность, потом туда перенесу все темы по взлому, ок?