IPB. Какой риск

Fang One · 8 Июн 2006

Дифур, я это к тому, что много народу по копирайтам ищут версию бажную и ломают (через гугль) вот введи powered by invision power board v. 2.6 или тот же 1.3

Zeratul · 9 Июн 2006

Fang One написал(а):
Дифур, я это к тому, что много народу по копирайтам ищут версию бажную и ломают (через гугль) вот введи powered by invision power board v. 2.6 или тот же 1.3

Да.
Так тренируются и пантуются все кул ламеры

А вообще не юзайте IPB - Это гомно.

Это тоже самое, что пытаться залотать пустое место.. лотай не лотай.. убьют.

Вообще я надеюсь на то что стало меньше придурков которые простио так ломают чтото....
Вот на это и вся надежда

PS: Юзайте булку

a_n_d_y · 9 Июн 2006

Zeratul написал(а):
Да.
Так тренируются и пантуются все кул ламеры
А вообще не юзайте IPB - Это гомно.

Это тоже самое, что пытаться залотать пустое место.. лотай не лотай.. убьют.

Вообще я надеюсь на то что стало меньше придурков которые простио так ломают чтото....
Вот на это и вся надежда

PS: Юзайте булку

Опа, а вот это интересно

Чем булка в плане безопасности лучше?
PS Меня это интересует потому что с булки на ipb перешел...

VanGog · 9 Июн 2006

a_n_d_y написал(а):
Опа, а вот это интересно
Чем булка в плане безопасности лучше?
PS Меня это интересует потому что с булки на ipb перешел...

Всем ))) она уже взломоустойчива , о чём заботится разработчик

qwedc · 9 Июн 2006

так что можно считать главными уязвимостями ипб?

Zeratul · 9 Июн 2006

qwedc написал(а):
так что можно считать главными уязвимостями ипб?

Как я помню больше всего дыр в нём связано с формами загрузки файлов.. чаще всего дырки в них.
ИМХО

stooper · 10 Июн 2006

с загрузкой файлов проблемы были в 1.3 ветке, когда можно было в смайлы заливать вэб-шелл, но эти времена давно ушли... отлично помню период r57ipb2.pl, ухххх, как он затянулса :-]

основные проблемы ipb, это:
xss, практически в каждой версии, и следующая за ним cookie sql injection. все уязвимости восновном связаны с этим.
решение есть, и оно как всегда ортодоксально:
- отключать bb-code

- дописывать существующие парсеры для форм(заплатки) :confused:

- учетная запись админа только для админцентра, а для походов по форуму - обыкновенная юзерская.

- ну и ... user с id 1 не должен быть админом никогда

stooper · 10 Июн 2006

ЗЫ: и еще... существует нехитрый запрос, позволяющий различить варезнутую версию форума IPB от лицензионной: опционально разработан для стучалок и борьбы с варезом.
сформируем query_string для главной страницы форума, который хотим проверить, такого вида

Для просмотра ссылки Войди или Зарегистрируйсяipsreport=1

появицца белый экран, с инфой о регистрации и о владельце этого форума. у большенства форумов рунета мы увидем

Hi, IPS Niggaz!
GreetZ From WDYL-WTN Team

например, наглядно - Для просмотра ссылки Войди или Зарегистрируйся

т.е. говорит о том, что используецца лицензия, купленая у WDYL

Соответственно, если форум вам не мил, или админ вам чем то насолил, не стоит вдавацца в подробности хакинга и искать очередной сплойт. мы же интелигентные люди

просто пишите в абьюс IPB!
Для просмотра ссылки Войди или Зарегистрируйся, а они не заставят себя долго ждать, уж я то знаю, работают быстро =)

а самое главное - инфу при чекинге можно все равно выдать левую, причем такую же, как на лицензионных форумах, что я и сделал на своем

Возвращаясь к вопросу о том, какой риск: если воспользоваться методом выше, не прибегая к хакингу, можно принести неприятности любому форуму, вертящемуся на варезном IPB, а таких в рунете 90%(!),
включая всякие коммерческие и неслабо раскрученые сайты.

_alias · 10 Июн 2006

Кто знает какие есть уязвимости в IPB 2.1.6 ?

marksman · 14 Июн 2006

А сайтик то неплохой, который из первого поста, точнее его двиг с его содержимым

IPB. Какой риск

Fang One

Прохожие

Zeratul

Создатель

a_n_d_y

Гуру форума

VanGog

ROOT

qwedc

Постоялец

Zeratul

Создатель

stooper

traffic doctor

stooper

traffic doctor

_alias

Постоялец

marksman

Создатель