Forum. MyNuke.ru
Forum. MyNuke.ruСообщения за сегодняПерсональные сообщения

Навигация  
Вернуться   Forum. MyNuke.ru > PHP-NUKE > Безопасность > Уязвимости Защиты
Ник
Пароль
Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Soniks вне форума      Старый Обнаружение Полного Пути в phpBB и в phpNuke #1  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
11.07.2005, 18:45

В настоящее время хакеры для обнаружения полного пути до скрипта пользуются отсутствием проверки переменной на массив перед вызовом функции htmlspecialchars(), preg_match() и тому подобных. Особенно те переменные которые передаются скрипту из вне методом POST или GET.
В результате чего, сконфигурировав правильно запрос, злоумышленник увидит полный путь!

Т.к. phpNuke и phpBB как и многие скрипты не обладают такой проверкой, то самой правильной и нужной, для тех кто еще не сделал это, просто запретить вывод ошибок php на экран, для этого добавьте строчку в файл config.php:
PHP код:
 ini_set('display_errors','0'); 
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Vek вне форума      Старый #2  
Аватара для Vek
Vek
Участник+
Регистрация: 09.07.2005
Сообщения: 244


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Vek Найти все сообщения от Vek Добавить Vek в список друзей  
12.07.2005, 14:47

это хоть где можно прописать?

Soniks вне форума      Старый #3  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
12.07.2005, 15:31

Vek читайте все написано же:
Цитата для этого добавьте строчку в файл config.php


если у вас phpNuke 7.8 или нюка с патчем 3,0, то этого делать не надо.
а в PHP-NUKE 7.7 данная строка содержится в файле mainfile.php

Последний раз редактировалось Soniks, 12.07.2005 в 20:25.
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Vek вне форума      Старый #4  
Аватара для Vek
Vek
Участник+
Регистрация: 09.07.2005
Сообщения: 244


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Vek Найти все сообщения от Vek Добавить Vek в список друзей  
12.07.2005, 20:08

а в конфиге в любом месте прописать?

Soniks вне форума      Старый #5  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
12.07.2005, 20:24

Vek да, только отдельной строкой.
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Master вне форума      Старый #6  
Аватара для Master
Master
Участник
Регистрация: 06.04.2005
Сообщения: 98


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Master Найти все сообщения от Master Добавить Master в список друзей  
19.08.2005, 13:44

Vek Если стоит более ранняя версия патча то данный код ini_set('display_errors','0'); установлен вверху файла mainfile.php если там поставить 0 или 1 то соответственно включается и выключается вывод ошибок на экран а в более поздних патчах это есть в файле config.php

MadMan вне форума      Старый #7  
Аватара для MadMan
MadMan
Новенький
Регистрация: 23.08.2005
Сообщения: 8


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для MadMan Посетить домашнюю страницу MadMan Найти все сообщения от MadMan Добавить MadMan в список друзей  
23.08.2005, 03:52

уже давно воткнул в маинфайл а я даже не знал серьезность предназначения этой функции
мне пришлось ее воткнуть так как на локалке одни ошибки показывались

з.ы. аватары тут умереть - не встать! почему низя свои добавлять?

Soniks вне форума      Старый #8  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
23.08.2005, 12:46

MadMan
Цитата з.ы. аватары тут умереть - не встать! почему низя свои добавлять?

таковы правила нашего форума!
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


MadMan вне форума      Старый #9  
Аватара для MadMan
MadMan
Новенький
Регистрация: 23.08.2005
Сообщения: 8


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для MadMan Посетить домашнюю страницу MadMan Найти все сообщения от MadMan Добавить MadMan в список друзей  
24.08.2005, 00:38

да не впринцепе даже угарно =)

Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
phpbb и phpnuke Armee Установка Модулей 14 27.08.2006 01:17
phpBB + phpNuke MorPhiUS Настройка и Изменение 3 14.11.2005 01:45
Лечим межсайтовый скриптинг в форуме PHPNuke!!! Soniks Уязвимости Защиты 9 18.07.2005 12:44
Множественное Обнаружение полного пути в php-nuke Soniks Уязвимости Защиты 5 11.07.2005 01:08
Обновляем форум phpBB 2.0.11 до 2.0.12 Soniks Безопасность 38 23.06.2005 23:18


Часовой пояс GMT +4, время: 22:08.


На Верх
Рейтинг@Mail.ru