Ув. Администрация, Защитите форум.
Итак что мы имеем?
Вот в этой теме описана проблема: http://la2base.ru/forum/index.php?showtopic=59827
Некто ворует пароли по средствам инъекции PHP кода в кратинки. (в целях безопасности небуду выкладывать код)
Чтобы защитится необходимо запретить аплоад аватаров из вне (по url), так как именно так и воруют пароли.
(на момент описания темы эта опция ещё работала). Также возможна инъекция размещая BB код картинки в подпись.
Вообщем думаю моя идея ясна.
Однако уязвимость всё ещё имеет место.
Прикрыть это очень просто и я не понимаю как это ещё не сделали, при том что у некоторых модераторов уже воровали пассы.
Какая нафиг уязвимость...
Просто кто-то вставил ссылку на контент с удаленного ресурса.
В этот момент ресурс _ЗАКРЫЛСЯ_, туда поставили пароль дабы посторонние не заходили.
Вот когда Реалм косит под нас и просит логин\пароль...это уже другое дело.
— Ålderdom - ingen glädje..
AbsT: Какая нафиг уязвимость...
Просто кто-то вставил ссылку на контент с удаленного ресурса.
В этот момент ресурс _ЗАКРЫЛСЯ_, туда поставили пароль дабы посторонние не заходили.
Вот когда Реалм косит под нас и просит логин\пароль...это уже другое дело.
В данной ситуации это так, но уязвимость как таковая имеется. Мне наглядно показать чтобы вы поверили, к чему вот такие вот ответы?
Зачем мне что-то показывать?
Вы предлагаете на корню вырезать возможность вставки ссылок на удаленный контент?
Аватары, картинки итд.
И что получится?
Мы уже десятки раз сталкивались с этим.
За свою учетную запись отвечает сам пользователь, поэтому надо иметь голову на плечах.
А мы лишь уничтожаем подобные ссылки и блокируем домен.
— Ålderdom - ingen glädje..
Запрещение удалённых аватар это уже уменьшает шанс угона паролей юзеров почти вдвое. Делайте что хотите вообщем, я вам подсказал. дальше дело ваше.
Уязвимость как таковая блокируется запретом исполнения php в папках с chmod 777. А картинки в подписях - Надо нах_й запрещать вместе со внешними ссылками, это факт.
— 6




