|
|
vBulletin 3.х Раздел о vBulletin и всем что касается этого скрипта |
|
Опции темы | Поиск в этой теме |
16.05.2014, 09:08 Вверх | #4 | |||
Старший модератор
|
Почему? Этот файл есть в установочном дистрибутиве форума. Так что в случае нужды вернуть его на место дело пары секунд, зато на время пока будет найдено иное решение форум будет защищён. Или у Вас есть иное предложение? Оставить всё как есть?
|
|||
16.05.2014, 11:42 Вверх | #7 | |||
Коренной житель
|
И в чём же заключается уязвимость?
А ещё в админке есть Резервное копирование базы данных - это тоже уязвимость? Вы что, админку первому встречному даёте? Я вам тогда ещё одну тайну открою: если есть доступ к админке - можно залить шелл. И тогда будет доступна не только БД, но и файлы форума. Стесняюсь спросить, но вы видео-то смотрели? |
|||
Последний раз редактировалось OlgaB; 16.05.2014 в 12:05.. |
||||
16.05.2014, 12:46 Вверх | #8 | |||
Старший модератор
|
Стесняться не нужно: я реально просмотрел только сейчас, после Ваших слов. USB модем, знаете ли. И трафик не безлимит. На моё счастье видео мало весит. Скачал себе на компьютер. Большое спасибо что поправили.
|
|||
Последний раз редактировалось Prometej; 16.05.2014 в 12:49.. |
||||
16.05.2014, 13:37 Вверх | #9 | |||
Просто блондинка
|
мне вот тоже очень интересно...
конечно если впихнуть в любую фразу содержимое database_ingo, выведется всё, как миленькое и на любой 4ке тоже в чём новость? при чём тут вообще faq? эту фразу можно впереть куда угодно угу... вообще самая страшная тайна vBulletin: в админке сплошь уязвимость на уязвимости, куда ни глянь ужас, ужас... ))) |
|||
Cказали cпасибо: |
16.05.2014, 14:55 Вверх | #10 | |||
Опытный пользователь
|
OlgaB, Уязвимость заключается в том что можно вывести данные для подключения к базе.
На счёт шелла - при граммотной настройке htaccess и прав не залить. В админку можно зайти и по хэшу пароля,доступ давать не обязательно. Luvilla, Однако в более поздних версиях нельзя,вопрос напрашивается - почему? да потому что это всё таки уязвимость. |
|||
16.05.2014, 20:46 Вверх | #12 | |||
Просто блондинка
|
для того, чтобы заюзать эту "уязвимость", надо попасть в админку
зачем после этого радактировать какой-то фак? если можно слить себе БД и грохнуть весь форум? я позволю себе не согласиться с этим в админке таких мест - куча, и что? меньше читайте форумов, ориентированных на кулхацкеров детсадовского возраста поспорим? настраивайте права и .хтаксесс и дайте мне ваш админский акк на пару минут так вот побеспокоиться надо о том, чтобы к злоумышленнику не попал хэш пароля ну и.. не буду утверждать, не помню с какой версии 4ки, по хэшу уже фик зайдёшь и последнее - закрыть админку по ИП и по хттпасс - не? |
|||
17.05.2014, 12:49 Вверх | #14 | |||
Коренной житель
|
Это далеко не единственный способ вывести данные для подключения к БД.
Будьте любезны, назовите мне версию, в которой этого нет. Миф. Насколько я помню, то такое было в 4. И, вроде, до версии 4.1.5 И да, не помню насколько там реалистично было войти в админку, не разгадывая хЭш пароля) Авторизоваться под админским акком - да, но, вроде бы, не в самой админке. Чаще всего форумы взламывают из-за халатности админов. Если уж озадачились "защитой форума", то: 1. Не ставьте кучу хаков. Если уж и поставили хак, то "мониторьте" тему с ним, т.к. хаки обновляют не только, когда добавляется функционал, но ещё и когда фиксят потенциальные уязвимости... 2. Следите за выходами патчей к движку. Если с чем-то "интегрировали", то и за другими движками следите. Собственно, следить за этим следует, если у вас на одном сервере несколько сайтов на разных движках. 3. Не включайте html на форуме. Не ставьте лёгкие пароли, защитите админку .htaccess .htpasswd, не забудьте удалить папку install. И это, конечно, не панацея... Не хочешь, чтобы сайт вломали - не создавай его (с) Админская мудрость. Оффтоп Sven, Оффтоп |
|||
Cказали cпасибо: |