Forum. MyNuke.ru

Forum. MyNuke.ru (http://forum.mynuke.ru/index.php)
-   Уязвимости Защиты (http://forum.mynuke.ru/forumdisplay.php?f=15)
-   -   Обнаружение Полного Пути в phpBB и в phpNuke (http://forum.mynuke.ru/showthread.php?t=416)

Soniks 11.07.2005 18:45

Обнаружение Полного Пути в phpBB и в phpNuke
 
В настоящее время хакеры для обнаружения полного пути до скрипта пользуются отсутствием проверки переменной на массив перед вызовом функции htmlspecialchars(), preg_match() и тому подобных. Особенно те переменные которые передаются скрипту из вне методом POST или GET.
В результате чего, сконфигурировав правильно запрос, злоумышленник увидит полный путь!

Т.к. phpNuke и phpBB как и многие скрипты не обладают такой проверкой, то самой правильной и нужной, для тех кто еще не сделал это, просто запретить вывод ошибок php на экран, для этого добавьте строчку в файл config.php:
PHP код:
 ini_set('display_errors','0'); 

Vek 12.07.2005 14:47

это хоть где можно прописать?

Soniks 12.07.2005 15:31

Vek читайте все написано же:
Цитата для этого добавьте строчку в файл config.php


если у вас phpNuke 7.8 или нюка с патчем 3,0, то этого делать не надо.
а в PHP-NUKE 7.7 данная строка содержится в файле mainfile.php

Vek 12.07.2005 20:08

а в конфиге в любом месте прописать?

Soniks 12.07.2005 20:24

Vek да, только отдельной строкой.

Master 19.08.2005 13:44

Vek Если стоит более ранняя версия патча то данный код ini_set('display_errors','0'); установлен вверху файла mainfile.php если там поставить 0 или 1 то соответственно включается и выключается вывод ошибок на экран а в более поздних патчах это есть в файле config.php

MadMan 23.08.2005 03:52

уже давно воткнул в маинфайл а я даже не знал серьезность предназначения этой функции
мне пришлось ее воткнуть так как на локалке одни ошибки показывались

з.ы. аватары тут умереть - не встать! почему низя свои добавлять?

Soniks 23.08.2005 12:46

MadMan
Цитата з.ы. аватары тут умереть - не встать! почему низя свои добавлять?

таковы правила нашего форума!

MadMan 24.08.2005 00:38

да не впринцепе даже угарно =)


Часовой пояс GMT +4, время: 18:25.

Copyright © 2005 by Soniks