Сообщение от
hnj44289
Уязвимость заключается в том что можно вывести данные для подключения к базе.
Это далеко не единственный способ вывести данные для подключения к БД.
Сообщение от
hnj44289
Однако в более поздних версиях нельзя,вопрос напрашивается - почему?
да потому что это всё таки уязвимость.
Будьте любезны, назовите мне версию, в которой этого нет.
Сообщение от
hnj44289
На счёт шелла - при граммотной настройке htaccess и прав не залить.
Миф.
Сообщение от
hnj44289
В админку можно зайти и по хэшу пароля,доступ давать не обязательно.
Насколько я помню, то такое было в 4. И, вроде, до версии 4.1.5
И да, не помню насколько там реалистично было войти в админку, не разгадывая хЭш пароля)
Авторизоваться под админским акком - да, но, вроде бы, не в самой админке.
Чаще всего форумы взламывают из-за халатности админов.
Если уж озадачились "защитой форума", то:
1. Не ставьте кучу хаков. Если уж и поставили хак, то "мониторьте" тему с ним, т.к. хаки обновляют не только, когда добавляется функционал, но ещё и когда фиксят потенциальные уязвимости...
2. Следите за выходами патчей к движку. Если с чем-то "интегрировали", то и за другими движками следите. Собственно, следить за этим следует, если у вас на одном сервере несколько сайтов на разных движках.
3. Не включайте html на форуме. Не ставьте лёгкие пароли, защитите админку .htaccess .htpasswd, не забудьте удалить папку install.
И это, конечно, не панацея...
Не хочешь, чтобы сайт вломали - не создавай его (с) Админская мудрость.
Оффтоп
Есть у меня один знакомый - параноик. У него вообще на форуме админов нет :D
Если что-то и надо ему в админке поправить/поставить, то лезет в БД, ставит админскую группу и только после уже в админку...)))
Sven,
Оффтоп
Сообщение от
Sven
так если вы считаете, что это уязвимость - закрывайте её..кто-то мешает это делать?)
Сообщение от
hnj44289
Подскажите пожалуйста как можно пофиксить?