Бесплатные PHP скрипты - форум техподдержки

Бесплатные PHP скрипты - форум техподдержки

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!

Главная сайта бесплатных php скриптовГлавная сайта   ПоискПоиск  
Сегодня: 25.07.2024 - 18:25:21
Страницы:  1  2  3  4  5  

Безопасность wr скриптов.

Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.

АвторСообщение

cyber

C
гость

В данной теме обсуждаются вопросы безопасности wr скриптов. И только.

Вообщем начнём.

По оперативной информации вот WR-Forum 1.7:

Цитата:


Уязвимость в форуме WR-Forum 1.7 позволяющая злоумышленнику обойти ограничение
безопасности возникающая из-за недостаточной обработки входных данных
в файле cookies. Удаленный пользователь может войти в систему под любой учетной
записью.

Пример:

Нашел сайт с бажным форумом -> зарегистрировался -> вошел под зарегистрированным
пользователем ->запустил прогу Cookie Editor->нашел кукисы форума ->
увидел там что типо этого: NICK%7Cpass%7C1137084043%7C1137084043%7C ->
вместо Nick подставил любую учетную
существующую запись на этом форуме ->The End


Информация предоставленна:
http://gfs.jino-net.ru

Мои коментарии по поводу найденной уязвимости:
Уязвимость не очень функциональная, появляется возможность писать сообщения от администратора, но не больше... Так что не даёт много функция и доступ к админ панели.

Наверное придётся переписать всю технологию авторизации, но ничего не поделаешь...
От себя хочу добавить.
WR-Faq:
http://wr.kovostok.ru/wr-faq/
Советую поменять дефолтные пароли на другие, пока не не додумались залить shell с помощью админ-панели (а это дело времени).
На сегодня всё, ждите ещё новости, а вам уважаемый WR остаётся латать дыры.

P.S Все вопросы и предложения в ICQ#: 4714772.

Сообщение # 1 14.01.06 - 22:27:27

midav

M
гость

довольноинтересный сайт, прочитал штук десяток статей

Сообщение # 2 15.01.06 - 01:42:30

cyber

C
гость


Цитата:


Уязвимость в галерее WR-Gallery версии 1.1 позволяющая злоумышленнику
выполнить в системе произвольный php код.

Пример:

Создается текстовой файл с php кодом, переименовывается например как
shell.php.jpg и заливается вместо картинки потом открывается url по адресу
http://[site]/wr-gallery/data/shell.php.jpg



Цитата:

Уязвимость в форуме WR-Forum версии 1.7 позволяющая злоумышленнику
выполнить в системе произвольный php код.

Пример:

Создается текстовой файл с php кодом, переименовывается например как
shell.php.jpg и заливается вместо авватара потом открывается url по адресу
http://[site]/wr-forum/avatars/shell.php.jpg


Информация предоставлена: http://gfs.jino-net.ru

Сообщение # 3 18.01.06 - 09:03:12

WR

W
Участник форума

cyber, я щас здесь ещё поругаюсь.

1. Во-первых ПРОШУ УДАЛИТЬ ВСЕ СООБЩЕНИЯ о уязвимости всех моих скриптов. Я всё понял, заплатки будут - ОБЕЩАЮ. Вопрос только во времени. ВСЕ заплатки всегда будут бесплатными. ДЛЯ всех скриптов.

2. Смотри кибер: <? ?> " ' I \ / * -+ - любые символы пропускает. А у тебя - нет.

Люди, конечно, в последнее время пошли...

Сообщение # 4 18.01.06 - 12:23:16

cyber

C
гость

WR,
Ты так непереживай...
Только е пойму что случилось...
Ну уязвимости будут публиковаться в этой теме...
Ты всё успеешь залатать и всё...
Всё равно большенство не знают как их использовать даже...
И ещё они не дают большого результата...
Я лично за то, что бы тема жила...
Всё же нужная штуку... Ещё как удалять сообщения?
У меня этой функции нету :)

Сообщение # 5 18.01.06 - 12:38:23

midav

M
гость

WR, может пригодиться, помню гдето в нете нашел

Код:

======
Советы
======

1) Желательно не создавать конфиги, которые можно прочесть из веба. Конфиг надо класть выше папки веб-сервера или создавать в таком типе файла, который нельзя прочесть из браузера (например, *.inc не на всех веб-серверах запускается, как PHP-скрипт, а просто открывается как текстовый файл). Так что давайте имена таким файлам с расширением *.php.
2) Никогда не делайте пароль на доступ к SQL-базе таким же, как и на FTP. А если у вас на хостинге по умолчанию так и сделано (пароли одинаковые), то требуйте от хостера чтобы он сделал их разными, т.к. если хакер получит веб-шел на сервер и сможет прочесть конфиг с паролем к SQL-базе => сможет получить FTP-доступ.
3) Шифруйте все пароли доступа к различным закрытым зонам специальными ф-циями, например md5(). Если хакер сможет получить базу с такими паролями, то расшифровать их будет проблематично.
4) Следите за обновлениями самой версии PHP (http://www.php.net) и своевременно обновляйте ее при выходе новой стабильной версии, потому что не только PHP-код может таить в себе уязвимость, но и сам интерпретатор языка (я думаю все помнят о PHP 4.0.2-4.0.7 которая позволяла удаленно открыть веб-шел).
5) По возможности давайте не распространенные имена к конфигам с паролями (cfg.php и т.д., а не config.php или conf.php), т.к. это затруднит поиск конфигов с помощью поиска по файлам сервера (find / -name conf*) хакером.
6) Не пренебрегайте возможностью сделать HTTP-аутификацию средствами PHP, особенно если нет возможности это сделать на уровне Апача (.htaccess и .htpasswd). Более подробно о таком виде аутификации и других видах можете прочесть в серии статей "Авторизация доступа" (http://www.web-hack.ru/books/books.php?go=37).
7) По возможности держите ваш PHP в режиме safe mode (safe_mode=on). Так же советую вырубить инициализацию глобальных переменных (register_globals=off) и возможность fonen() открывать адреса из веба (allow_url_fopen=off). Еще можно запретить опасные ф-ции:
disable_functions=phpinfo,system,passthru
8) Если пишите гостевуху и т.п., то не забывайте ставить фильтрацию во всех формах (ник, мыло и т.д.) на теги с помощь ф-ции htmlspecialchars(). Кстати, если в теле сообщений нужно использовать теги, то лучше сделать свои (типа [B][/B] и т.д.), а не делать фильтры на запрещение не нужных.
9) Шифруйте исходники на PHP и особенно конфиги с помощью Zend Optimizer (http://www.zend.com).

Сообщение # 6 20.01.06 - 23:28:28

WR

W
Участник форума

midav, информация для размышления

Думаю скоро нужно будет инсталятор писать для скриптов, в котором:
1. генерировать имя для конфиг-файла, например: KJHjkh324aef.php
2. генерировать имя для папки с данными форума
3. Требовать от админа сразу же ввести какой-нибудь пароль.



cyber, Я уже смерился . В скором времени создам ветку на форуме: Безопасность, потом туда перенесу все темы по взлому, ок?

Кстате, залатал на выходных форум и доску объявлений, на неделе выложу для всеобщего скачивания и здесь установлю. Новость на главной тоже подправлю

Сообщение # 7 23.01.06 - 07:54:59

S@murai

S
гость

midav, чем чем шифровать? И как?

Сообщение # 8 23.01.06 - 08:25:41

midav

M
гость

S@murai, md5 шифровать

Сообщение # 9 23.01.06 - 14:00:15

S@murai

S
гость

midav, а это как ???
как код можно шифровать расскажи подробнее!!!
ПЛЫЗЬ!!!

Сообщение # 10 23.01.06 - 14:09:38

Wm-Master

W
гость

Очень всё просто. В базу заносим не сам пароль, а его МД5-код который генерим функцией md5($parol_pri_registratsii)
При авторизации сравниваем: если МД5 от введённого юзером пароля совпадает с тем что в базе, то авторизация идёт дальше - если нет-пароли несовпадают и юзер незаходит.
т.е If (md5($vvedenyi_parol_of_user)==$md5_iz_bazu) {
заходим...
} else { оболом }
Если злоумышленик даже узнает МД5 код пароля - сам пароль он не сможет востановить - это нереально даже для мощных машин. Одно но: напоминание пароля не будет работать - нужно будет генерить новый и отсылать на мыло юзеру.

Сообщение # 11 14.02.06 - 03:52:32

pash_ka

P
гость

Кстати, по поводу подмены имени юзера в куках. (о чем писал cyber в первом посте). Если это до сих пор живет...
То получается, любой человек может узнать пароль любого юзера!!! Потому что он показан окрытым текстом в профиле. А вы говорите - только пиаать от чьего-то имени...

Сообщение # 12 23.03.06 - 15:45:59
Следующая тема: WR - Quickchat v. 1.1
Страницы:  1  2  3  4  5  

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
Ответ на вопрос: (Какой сейчас год?)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.3 UTF-8 beta версия