Zdravim,
zkoušel jsem na oficiálním foru něco jako injection, ale nešlo to, pak jsem to zkoušel na svým a taky to nešlo takže nechápu jaktože tady to jde...
příklady jsou v jiným tématu
Toto forum není zabezpečené jako standartní phpBB Vyřešeno
- CZechBoY
- Master Level 9.5
- Příspěvky: 8813
- Registrován: srpen 08
- Bydliště: Brno
- Pohlaví:
- Stav:
Offline
- Kontakt:
Toto forum není zabezpečené jako standartní phpBB
PHP, Nette, MySQL, C#, TypeScript, Python
IntelliJ Idea, Docker, Opera browser, Linux Mint
iPhone XS
Raspberry PI 3 (KODI, Raspbian)
XBox One S, PS 4, nVidia GeForce NOW
IntelliJ Idea, Docker, Opera browser, Linux Mint
iPhone XS
Raspberry PI 3 (KODI, Raspbian)
XBox One S, PS 4, nVidia GeForce NOW
Re: Toto forum není zabezpečené jako standartní phpBB
zajimave
„Pracuji na (svobodném) operačním systému (jako koníček, nebude to velké a profesionální jako GNU) pro klony 386(486) AT.“
- tohle napsal do usenetové diskuse Linus Torvalds dne 17. září 1991
NB: Intel Pentium DC, 3GB RAM, Ati Mobility Radeon HD4570, 250GB HDD - Windows 7 + Archlinux
- tohle napsal do usenetové diskuse Linus Torvalds dne 17. září 1991
NB: Intel Pentium DC, 3GB RAM, Ati Mobility Radeon HD4570, 250GB HDD - Windows 7 + Archlinux
- Ltb
- Administrátor
-
Master Level 8.5
- Příspěvky: 6760
- Registrován: únor 03
- Bydliště: Praha západ
- Pohlaví:
- Stav:
Offline
- Kontakt:
Re: Toto forum není zabezpečené jako standartní phpBB
Díky moc za informaci. Jestli můžu poprosit, ponechej prosím ten příklad v testovacím fóru. Pokusím se zjistit, v čem se lišíme oproti standardnímu phpbb a pokud možno, tuto věc upravím.
Zdraví
Zdraví
- CZechBoY
- Master Level 9.5
- Příspěvky: 8813
- Registrován: srpen 08
- Bydliště: Brno
- Pohlaví:
- Stav:
Offline
- Kontakt:
Re: Toto forum není zabezpečené jako standartní phpBB
Viděl bych to někde na chybu v posting.php v rootu, někde (standartně) kolem 500. řádku se už odesílají data do databáze, na 490. řádku se, myslím, převádí ten kód z BB,obrázků,flashe,url,smajly atd. mrkni se tam...
tady posílám řádky 489-516:
[php]
// HTML, BBCode, Smilies, Images and Flash status
$bbcode_status = ($config['allow_bbcode'] && $auth->acl_get('f_bbcode', $forum_id)) ? true : false;
$smilies_status = ($bbcode_status && $config['allow_smilies'] && $auth->acl_get('f_smilies', $forum_id)) ? true : false;
$img_status = ($bbcode_status && $auth->acl_get('f_img', $forum_id)) ? true : false;
$url_status = ($config['allow_post_links']) ? true : false;
$flash_status = ($bbcode_status && $auth->acl_get('f_flash', $forum_id) && $config['allow_post_flash']) ? true : false;
$quote_status = ($auth->acl_get('f_reply', $forum_id)) ? true : false;
// Save Draft
if ($save && $user->data['is_registered'] && $auth->acl_get('u_savedrafts') && ($mode == 'reply' || $mode == 'post' || $mode == 'quote'))
{
$subject = utf8_normalize_nfc(request_var('subject', '', true));
$subject = (!$subject && $mode != 'post') ? $post_data['topic_title'] : $subject;
$message = utf8_normalize_nfc(request_var('message', '', true));
if ($subject && $message)
{
if (confirm_box(true))
{
$sql = 'INSERT INTO ' . DRAFTS_TABLE . ' ' . $db->sql_build_array('INSERT', array(
'user_id' => (int) $user->data['user_id'],
'topic_id' => (int) $topic_id,
'forum_id' => (int) $forum_id,
'save_time' => (int) $current_time,
'draft_subject' => (string) $subject,
'draft_message' => (string) $message)
);
$db->sql_query($sql);
[/php]
tady posílám řádky 489-516:
[php]
// HTML, BBCode, Smilies, Images and Flash status
$bbcode_status = ($config['allow_bbcode'] && $auth->acl_get('f_bbcode', $forum_id)) ? true : false;
$smilies_status = ($bbcode_status && $config['allow_smilies'] && $auth->acl_get('f_smilies', $forum_id)) ? true : false;
$img_status = ($bbcode_status && $auth->acl_get('f_img', $forum_id)) ? true : false;
$url_status = ($config['allow_post_links']) ? true : false;
$flash_status = ($bbcode_status && $auth->acl_get('f_flash', $forum_id) && $config['allow_post_flash']) ? true : false;
$quote_status = ($auth->acl_get('f_reply', $forum_id)) ? true : false;
// Save Draft
if ($save && $user->data['is_registered'] && $auth->acl_get('u_savedrafts') && ($mode == 'reply' || $mode == 'post' || $mode == 'quote'))
{
$subject = utf8_normalize_nfc(request_var('subject', '', true));
$subject = (!$subject && $mode != 'post') ? $post_data['topic_title'] : $subject;
$message = utf8_normalize_nfc(request_var('message', '', true));
if ($subject && $message)
{
if (confirm_box(true))
{
$sql = 'INSERT INTO ' . DRAFTS_TABLE . ' ' . $db->sql_build_array('INSERT', array(
'user_id' => (int) $user->data['user_id'],
'topic_id' => (int) $topic_id,
'forum_id' => (int) $forum_id,
'save_time' => (int) $current_time,
'draft_subject' => (string) $subject,
'draft_message' => (string) $message)
);
$db->sql_query($sql);
[/php]
PHP, Nette, MySQL, C#, TypeScript, Python
IntelliJ Idea, Docker, Opera browser, Linux Mint
iPhone XS
Raspberry PI 3 (KODI, Raspbian)
XBox One S, PS 4, nVidia GeForce NOW
IntelliJ Idea, Docker, Opera browser, Linux Mint
iPhone XS
Raspberry PI 3 (KODI, Raspbian)
XBox One S, PS 4, nVidia GeForce NOW
- Ltb
- Administrátor
-
Master Level 8.5
- Příspěvky: 6760
- Registrován: únor 03
- Bydliště: Praha západ
- Pohlaví:
- Stav:
Offline
- Kontakt:
Re: Toto forum není zabezpečené jako standartní phpBB Vyřešeno
Chyba opravena. Ještě jednou moc díky za upozornění!
Po poměrně náročném zkoumání a porovnávání kódu jsem se konečně dobral toho, v čem se lišíme oproti standardnímu phpbb kódu. Chybu způsoboval nedávno instalovaný MOD Syntax Higlighter (zvýrazňovač syntaxe). MOD v současné verzi 1.0.12, přestože je oficiálně zvalidovaný phpbb.com týmem, umožňoval hijack fóra. Autora MODu na tuto chybu upozorním.
MOD jsem samozřejmě obratem odinstaloval, problém je tímto vyřešen.
p.s. vzhledem k tomu, že mě celá věc (instalace modu, deinstalace, hledání chyby) stála několik desítek hodin času, jen těžko si dokážu představit, že se tento MOD ještě ve fóru někdy objeví.
Po poměrně náročném zkoumání a porovnávání kódu jsem se konečně dobral toho, v čem se lišíme oproti standardnímu phpbb kódu. Chybu způsoboval nedávno instalovaný MOD Syntax Higlighter (zvýrazňovač syntaxe). MOD v současné verzi 1.0.12, přestože je oficiálně zvalidovaný phpbb.com týmem, umožňoval hijack fóra. Autora MODu na tuto chybu upozorním.
MOD jsem samozřejmě obratem odinstaloval, problém je tímto vyřešen.
p.s. vzhledem k tomu, že mě celá věc (instalace modu, deinstalace, hledání chyby) stála několik desítek hodin času, jen těžko si dokážu představit, že se tento MOD ještě ve fóru někdy objeví.
-
- Mohlo by vás zajímat
- Odpovědi
- Zobrazení
- Poslední příspěvek
-
- 5
- 1969
-
od petr22
Zobrazit poslední příspěvek
25 črc 2023 07:57
-
- 0
- 424
-
od Ltb
Zobrazit poslední příspěvek
23 dub 2024 17:38
-
-
Bezdrát. sluchátka tlač. na "přepnout na toto zařízení" přepíná vstup namísto výstupu
od su_u_baru » 11 srp 2023 12:03 » v Problémy s hardwarem - 0
- 890
-
od su_u_baru
Zobrazit poslední příspěvek
11 srp 2023 12:03
-
Zpět na “PC-HELP - připomínky k fóru”
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 4 hosti