Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Web-мастеру > vBulletin 4.x
Расширенный поиск

vBulletin 4.x Все для скрипта форума vBulletin 4.x

Ответ
 
Опции темы Поиск в этой теме
Старый 24.04.2018, 17:06 Вверх   #1
Новичок
 
Аватар для pendragon
pendragon вне форума
Доп. информация
По умолчанию Фильтр Гугла на всех четверках Воблы

Собственно уже подмечали что именно вобла сюит уходит в фильтр в Гугле.

"Уязвимость" надится в модуле блогов. Примеры страниц:


Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


В блоге пользователь может создавать "cp" - custom page. Они нигде не выводятся в новых сообщениях, их не видит никто. Но они есть. И это дает возможность "продавать ссылки" с таких сайтов посторонним людям. Поисковые системы обнаруживают это, ставят сайта пометку "участник биржи продажи ссылок". Сайт уходит под фильтр.

Решение: в правах групп пользователей убрать право создавать кастомные страницы. Поставить 0. По дефолту там 5. Проверять заходом с режима инкогнито т.к. с админа продолжает туда пускать. Еще лучше - отключить блоги вообще т.к. данный модуль форуму в принципе не нужен.

Section for our english speaking friends:
There is an "exploit" in all vBulletin 4.x Blog module.
Using it anyone can sell links from ur site. Google finds it. Google bans ur site. Penguin/Panda it's called.
Above are example links in russian. The page is "cp" - Custom Page. U should turn off the right to create such pages for ur users. Set maximum number of such pages to 0 in admin panel. Or just turn off Blog module since it's useless. Check the result using incognito mode of the browser.

Последний раз редактировалось Serberg; 26.04.2018 в 23:42..
  Ответить с цитированием
Старый 24.04.2018, 21:01 Вверх   #2
Новичок
 
Аватар для pendragon
pendragon вне форума
Доп. информация
По умолчанию

Добавлено:

Оказывается админы вбсуппорта знали о дыре но держали информацию закрытой. Сейчас тоже дельнули тему. Какое же говно этот вбсуппорт, честное слово. Фактически данная уязвимость касается тысяч людей, у которых годами идет пессимизация их сайтов, которыми они занимаются.
  Ответить с цитированием
Cказали cпасибо:
Старый 25.04.2018, 16:17 Вверх   #3
Просто блондинка
 
Аватар для Luvilla
Luvilla вне форума
Доп. информация
По умолчанию

Цитата Сообщение от pendragon Посмотреть сообщение
Сейчас тоже дельнули тему.
что?
Ваша тема никому не нужна, она жива и здорова, велкам: http://vbsupport.org/forum/showthread.php?t=53320
а то, что я грохнула ссылки из поста - ну так, имею право
Вы бы из уважения к ресурсу хотя бы под кат эту пачку ссылок попрятали, что ли
а тут, на Бормо, можно было под хайд убрать
зачем постить в открытом виде ссылки, которые не нравятся поисковикам?

Цитата Сообщение от pendragon Посмотреть сообщение
но держали информацию закрытой
а может, кто-то просто не умеет пользоваться поиском?
моя тема про страницы в блогах - за тринадцатый год
кому надо, все давно уже всё понастроили

Цитата Сообщение от pendragon Посмотреть сообщение
Какое же говно этот вбсуппорт,
угу... именно
  Ответить с цитированием
Cказали cпасибо:
Старый 26.04.2018, 00:59 Вверх   #4
Новичок
 
Аватар для pendragon
pendragon вне форума
Доп. информация
По умолчанию

Не надо мне рассказывать. Я вам список выложил более 20 сайтов-жертв. Где злоумышленники загоняют под фильтр ресурс.

Вы, оказывается, 5 лет об этом уже знаете. Ничего не делаете. Сайт у вас называется "вб суппорт" т.е. поддержика Воблы. Тысячи владельцев четверки мучаются годами. Многие из них - ваши пользователи. Вы ничего не делаете.

Сколько таких в мире? Не на русском языке? Кошмарное количество людей. Вы 5 лет молча наблюдаете как четверка загибается, как умирают ресурсы из-за пессимизации во всех поисковиках.
  Ответить с цитированием
Старый 26.04.2018, 23:44 Вверх   #5
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

pendragon, мне кажется что тут вопрос не по адресу. Нужно писать разработчикам булки, а не на саппорт. Это 2 совершенно разные инстанции.
Ну и разработчики самой булки уже давно клали болт на 3 и 4 линейку и что с ней будет дальше - им чихать, так как их основная цель продавать новые продукты, а не вылизывать старые, чтобы они были неуязвимыми.
  Ответить с цитированием
Старый 28.04.2018, 13:53 Вверх   #6
Просто блондинка
 
Аватар для Luvilla
Luvilla вне форума
Доп. информация
По умолчанию

pendragon, мы шесть или больше лет говорим: не ставьте 4ку, это УГ. Теперь мы говорим: не ставьте 5ку, это полное УГ

Цитата Сообщение от pendragon Посмотреть сообщение
Ничего не делаете.
к большей части моих статей стоит эпиграф: Админы, учите админку!

возможность создания собственных страниц в блогах - фишка. которую надо изучить и понять, чтобы правильно настроить
если админ не вникает - кто ему доктор?
это нЕ "уязвимость", это просто некий штатный функционал
И такого функционала в вобле (не важно, какой линейки) - довольно много. Такого функционала, которым могут воспользоваться спамеры. Что теперь? закатывать истерики по каждому поводу? Боты могут постить - опять саппорт виноват?

Цитата Сообщение от pendragon Посмотреть сообщение
Я вам список выложил более 20 сайтов-жертв. Где злоумышленники загоняют под фильтр ресурс.
это всего лишь банальный спам
хотите помочь этим "сайтам-жертвам"? - пишите админам в обратную связь
когда я нашла эту спамерскую лазейку, я писала в обратную связь, я лично поменяла настройки на тех форумах, где у меня был доступ в админку, и погрохала эти страницы
кстати, когда обнаружилась фатальная дыра в 3.8.6, у нас человек 10, может, больше, просто искали такие форумы и писали в обратную связь, потому что там была реально дыра
а Вы? что лично Вы сделали, чтобы сделать мир лучше?
Прежде, чем кого-то обвинять, предъявите, что сделали лично Вы? ну, кроме того, что выложили в паблик чужой платный продукт? (угу, я помню)
  Ответить с цитированием
Старый 29.04.2018, 05:54 Вверх   #7
Новичок
 
Аватар для pendragon
pendragon вне форума
Доп. информация
По умолчанию

Не стоит пытаться косить под дурачка. Вашего уровня достаточно для того, чтобы понять серьезность дыры - буквальный уход под фильтр всех четверок вообще. И достаточно для того, чтобы понять что как ни изучай - сами закрывать это не будут.

Ваши действия - не просто "не ставьте четверку", а "уходите под фильтр и подыхайте все пользователи продукта vBulletin". Вы являетесь форумом "вбсуппорт" и ваши действия направлены на вредительство пользователям данного продукта.

Прямое целенаправленное вредительство.

Добавлено через 3 минуты 45 секунд

Цитата Сообщение от Serberg Посмотреть сообщение
pendragon, мне кажется что тут вопрос не по адресу. Нужно писать разработчикам булки, а не на саппорт. Это 2 совершенно разные инстанции.
Ну и разработчики самой булки уже давно клали болт на 3 и 4 линейку и что с ней будет дальше - им чихать, так как их основная цель продавать новые продукты, а не вылизывать старые, чтобы они были неуязвимыми.
Они не знают о дыре.

Тут дело в том, что эти - знали и сознательно смотрели как юзеры четверок подыхают под фильтрами, как их сайты задыхаются и умирают а их админы не могут понять в чем дело - годами ища причину. Потому что я прежде чем нашел причину - мучался несколько лет.

И сверху список 20 минимум людей - которые до сих пор не знают о данной проблеме. Еще раз повторю - вбсуппорт админы об этом знают. Сознательное злонамеренное бездействие.

А сейчас включают дурачка когда их приперли.
  Ответить с цитированием
Старый 29.04.2018, 12:16 Вверх   #8
Просто блондинка
 
Аватар для Luvilla
Luvilla вне форума
Доп. информация
По умолчанию

Цитата Сообщение от pendragon Посмотреть сообщение
Не стоит пытаться косить под дурачка.
и в мыслях не было

Цитата Сообщение от pendragon Посмотреть сообщение
Вашего уровня достаточно для того, чтобы понять серьезность дыры
Вы не поверите... моего уровня таки хватает, чтобы понимать: это не дыра
это лазейка для спамеров и не более
А что Вы называете словом "дыра"?
"Дыра" - это когда школьник, возомнивший себя кулхацкером, фигачит в адресную строку запрос, получает данные БД и вешает модуль, сливающий трафик на сторону. Или, будучи обиженным на всё и вся, просто грохает вам базу. Вот это - дыра.

Цитата Сообщение от pendragon Посмотреть сообщение
Потому что я прежде чем нашел причину - мучался несколько лет.
за несколько лет можно было всё-таки внимательно изучить админку
и, кстати, почитать на vBS разделы, где обсуждаются проблемы разного уровня

Прекратите обвинять vBS во всех смертных грехах, мы не ангелы, но ваши посты тут похожи на истерику обиженного малыша. Если на форуме спам - виноват администратор и только он.

18.06.2013 мы делали рассылку, вот текст:

Если у Вас установлены блоги...

... то, возможно, Вам будет полезна информация о том, как предотвратить появление спама на страницах блогов
Полная, подробная информация - здесь: http://vbsupport.org/forum/showthread.php?t=47514

Если у Вас есть информация о каких-то новых трюках спамеров, Вы можете поделиться ею в теме http://vbsupport.org/forum/showthread.php?t=37483

Благодарим за внимание
Администрация vBSupport.org
Не получили? отписались? не обратили внимания? легло в "спам"?
а мы тут при чём?

На правах рекламы (Serberg, можно?):
- если Вам дорог Ваш форум
- если Вы боитесь взлома или массового спама
- если Вы хотите всегда быть в курсе новостей

подпишитесь на разделы Безопасность и Все версии vB, убедитесь, что письма не ложатся в "спам"... и спите спокойно. Обо всём действительно важном, что нам становится известно, мы оперативно и подробно информируем.
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Старый 09.05.2018, 15:16 Вверх   #9
Новичок
 
Аватар для pendragon
pendragon вне форума
Доп. информация
По умолчанию

В первом посте списко 20 форумов с уязвимостью. Еще тысячи не указаны. Расскажите свою ложь им.
  Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 02:01. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.15014 секунды с 13 запросами