Скрипт форума WR-Forum 2.2 (архив)

•

[img]http://az.w.pw/info/1.gif/[/img]
Да кавычки, дело серьезное. Изображение 1px X 1px

•

Не учел то, что нет тэга URL
Уязвимость состоит вот в чем:
По размещенной картинке в тэге IMG можно собирать статистику по всем посетителям форума.

Вот тут смотри все IP посетителей._http://az.w.pw/info/stat.php?id=1.gif =
Вот тут смотри все пароли посетителей_http://az.w.pw/info/test.php =

•

Виктор, ошибку можно исправить так:

Найти код:

// запускать ТОЛЬКО после замены АДРЕСА URL!!!
$msg=preg_replace('#\[img\](.+?)\[/img\]#','<img src="$1" border="0">',$msg);

и заменить на:

$msg=preg_replace('#\[img\](.+?)(jpg|gif|jpeg|png|bmp)\[/img\]#','<img src="$1$2" border="0">',$msg);

•

Цитата:

ten 07.08.06 в 13:14 пишет:
1) Было бы классно сделать предварительный просмотр отправляемого сообщения, а то бывает получается не очень :) хорошо!
2) И когда создаёшь новую тему - нельзя пользоваться смайликами, это тоже "не есть гут" :)
3) Да, ещё нельзя ЗАКРЫТЬ для изменений темы на главной странице.
4) И когда делаешь ограничение количества тем, например 1 шт. то скрипт позволяет делать на одну больше.

А вообще, конечно, спасибо разработчику за форум!

[img]укпиукпуцек[/img]екурекуркуенрку азазазаза лол

•

проверка

•

Цитата:

WR 08.01.14 в 10:58 пишет:
Виктор, ошибку можно исправить так:

Найти код:

// запускать ТОЛЬКО после замены АДРЕСА URL!!!
$msg=preg_replace('#\[img\](.+?)\[/img\]#','<img src="$1" border="0">',$msg);

и заменить на:

$msg=preg_replace('#\[img\](.+?)(jpg|gif|jpeg|png|bmp)\[/img\]#','<img src="$1$2" border="0">',$msg);

Проверяем:

•

WR, ни чё ни отлавливает.
Продолжаем смотреть статистику по посетителям: _http://az.w.pw/info/stat.php?id=1.gif =
Или здесь на форуме скрипт не обновлен?

•

Виктор,
а как он может отлавливать, если там просто фильтр на расширение добавлен...

•

Guest, Так в том и проблема.
Уязвимость [rb]есть[/rb] а решения [rb]нет[/rb]

Без надежной защиты скрипт может быть использован только в мелких (детских) проектах.
В принципе интернет полон алгоритмов защиты от подобного взлома, но мне хотелось бы увидеть решение от корифеев wr-script.

•

Доброго времени суток всем!

Установил на NAS D-Link DNS-320 форум 2.0 профессионал. Все вроде нормально, единственное при регистрации пользователя на адрес электронной почты не приходит письмо для активации аккаунта. Так же при создании темы на форуме (когда уже заходишь как пользователь) выдает ошибку (точно не помню текст, но что то вроде какой то ошибки при работе с куки) и в результате чего тема не создается и пользователь вылетает, т.е. логиниться по новой приходится.
Просьба не глумиться надо мной, первый раз пробую установку такого софта.
P.S. NAS подключен через роутер, из внешки форум доступен.

•

Егор, Привет,на электронную почту нормально приходят письма,просто у тебя у nasa либо не настроен сервер почты,а вообще у него вроди там его и нет,мой тебе совет,если у тебя nas поддерживает ещё и mysql то лучше скачай норм форум и там найдешь настройки почты,по следующим пунктам жди ответа WR.

•

Цитата:

sania174 17.02.14 в 17:57 пишет:
Егор, Привет,на электронную почту нормально приходят письма,просто у тебя у nasa либо не настроен сервер почты,а вообще у него вроди там его и нет,мой тебе совет,если у тебя nas поддерживает ещё и mysql то лучше скачай норм форум и там найдешь настройки почты,по следующим пунктам жди ответа WR.

спасибо, понял

Бесплатные PHP скрипты - форум техподдержки

Скрипт форума WR-Forum 2.2 (архив)