WR-Forum - скрипт форума 1.8 eXclusive и ранее (тема закрыта)

Цитата:

Цитата:

Ахуеть. Посмотрел я код последний версии, и ужас. Админ, я хоть программист и кодер с 30 летнем стажем, но твой Говнокод не годиться вообще. У меня такое впечатление что ты обкрамсал чей то скрипт форума, убрал левые понты и прочее и выдаешь за свой. Так как код идет весь в перемешку. Я запросто могу его сейчас снести влегкую...Но этого не сделаю. Как ты появишься, я тебе покажу где у тебя уязвимости, я нашел 8, несчитая багов. До реализа ему далеко.

Доброго всем дня.
Установил на локальный сервер ваш форум. Отличный скрипт, что бы не говорили всякие там *программисты с 30-ти летним стажем*, которым БОЛЬШЕ НЕЧЕГО ДЕЛАТЬ, кроме как заниматься х**. Ну лано, я в общем не об этом.
У меня возник такой вопрос. Стажа в годах у меня нету, не скромно назову себя чаиником.
Скачав всккипты, я установил форум и мне показалось мало (дело наверное в ненасытной человеческой натуре), я захотел добавить туда ява скрипт бегущей строки. Добавил. Как не странно, все оказалось рабочим, кроме строк, работающих с кукисами. Они не читаются, не пишутся, ничего. Приходится все делать руками.
При выходе из профиля, или захода в него, фаорум пишет ошибку в строке кукисов и говорит что начинается оно в строке:
<SCRIPT LANGUAGE="JavaScript">
Понятно, что то что я сделал- полнейшей воды маразм. Но хотелось бы узнать: можно ли все-же подключишь яву и каким способом?

Внимание!

Я вернулся. постараюсь ежедневно заходить на форум, читать сообщения и потихоньку ремонтировать скрипты. Проблема со взломом форума в большинстве случаев (как и в моём случае) возникает из-за низкой безопасности прочих скриптов на одном сайте. То есть форум взломали через КВИКЧат, где нет защиты от записи данных - можно записывать любые переменные. А через админку можно заливать шел. Что и сделали. Постараюсь залатать все скрипты, до которых руки не доходили и перезалить свежие версии на сайт, старые версии заменить новыми.


KapriZ, напиши, пожалуйста, какие уязвимости есть. Буду исправлять.

Чайник, спасибо за отзыв. Часть проблем мне ясна, устранять буду.

Извините за вышестоящее мое сообщение, я понял в чем проблема, как и предполагалсь- дело было в моем незнании. До <? стоять ничего не должно, даже строки. ^_^
засунул скрипт в конец и все ошибки как рукой смело )

WR, ЗДРАВСТВУЙТЕ!

Я БЫ ПОСОВЕТОВАЛ СДЕЛАТЬ МЕНЬШЕ ПЕРЕДАЧИ ЧЕРЕЗ GET СТРОКУ , ДАННЫЕ НЕ НУЖНО ПЕРЕДАВАТЬ ЧЕРЕЗ GET,.

И ТАК ЖЕ УБРАТЬ ИЗ КУКОВ ВСЯКИЕ ПАРОЛИ И ЛОГИНЫ,И ДРУГИЕ ДАННЫЕ, ВЫ ЗНАЕТЕ О ЧЕМ Я.

И ПАРОЛЬ ЕСЛИ ЮЗЕР ПОТЕРЯЛ,ТО НЕ НАДО ЕМУ СЛАТЬ СТАРЫЙ,А ГЕНЕРИРОВАТЬ СКРИПТОМ ,А ЮЗЕРУ НАДО БУДЕТ СМЕНИТЬ ТО СМЕНИТ.

И МОЖНО ДАЖЕ УБРАТЬ РЕПУТАЦИЮ И ЗАМЕНИТЬ ЕЕ ФУНКЦИЕЙ БАНА ПО МАСКЕ IP ХОТЯ БЫ НА ЧАСА 2 ИЛИ БАНИТЬ ПО ЕМАЙЛУ,КАК БЫ ЗАНОСИТЬ В ЧЕРНЫЙ СПИСОК.

ВСЕ ЭТО Я УЖЕ ДАВНО СДЕЛАЛ .
НО МЕНЯ КАК ТО НЕ СЛУШАЮТ,НО Я НЕ ПЕРЕЖИВАЮ ВАМ ЖЕ ЗАЩИТА НУЖНА , А НЕ МНЕ.

ПОЭТОМУ ВАМ И РЕШАТЬ С КЕМ БЕСЕДУ ВЕСТИ , А СКЕМ НЕТ.

СТАЖ ПРАВДА НЕ БОЛЬШОЙ НО 5,5 ЛЕТ ЕСТЬ ОПЫТА.

ПИШИТЕ МНЕ НА ЕМАЙЛ, НО УКАЗЫВАЙТЕ КОНКРЕТНО ЧТО НАДО, А НЕ ТАК ПРИШЛИ МНЕ МОД.

И КСТАТЕ,УВАЖАЕМЫЕ ПОЛЬЗОВАТЕЛИ ,ПОСЕТИТЕЛИ ЭТОГО ФОРУМА, СМЕНИТЕ ПАРОЛИ,ОНИ ПО ВСЕМУ ИНТЕРНЕТУ ВЫЛОЖЕНЫ,ОСОБЕНО Я НАШЕЛ НА НАРОДЕ.

МИХАИЛ,У МЕНЯ К ВАМ ПРОСЬБА, ПРОВЕРЯЙТЕ ПЕРЕМЕННУЮ НА ЕЕ СУЩЕСТВОВАНИЕ.
ЭТО ОСНАВНАЯ У ВАС ОШИБКА В СКРИПТАХ.

ЕСЛИ ЧЕСТНО,ТО ПО БЕЗОПАСНОСТИ МОЖНО ОЦЕНИТЬ КАК 30%,А ЭТО МАЛО.

И НАУЧИТЕСЬ ДУМАТЬ КАК ХАКЕР. А ИНАЧЕ ХОРОШАЯ БЕЗОПАСНОСТЬ ВАМ НЕ ГАРАНТИРОВАНА.

По поводу последних бед форума, я думаю - товарищ, который нам вовсе не товарищ, воспользовался вседозволенностью длины get-запроса чтоб запустить свой скрипт.
Нужно ограничить длину GET-запросов, и сделать линки такого вида:
разделы:
index.php?f=1
index.php?f=2
index.php?f=3
и т.д.
темы:
index.php?t=046121
index.php?t=088391
и т.д.
Примерно как в phpbb, вот пока так я думаю.

Как вам новая версия форума? Хотелось бы узнать у Миши, какие в ней изменения?

И где скачать новую версию подскажи. На главной ссылки нет.