Форум StopLinux
- Темы: Активные | Без ответа
Объявление
#1 17-01-10 23:50:29
- IvanOFF
- Участник
- Зарегистрирован: 26-12-09
- Сообщений: 1,482
Re: Сайт
Я бы вообще убрал комментирование новостей, заменив ссылкой на обсуждение на форуме. Движок сайта в принципе не предназначен для ведения дискуссий, отсюда и сложности. Надо использовать вещи по их назначению.
"Оно, конечно, можно научить медведя ездить на велосипеде. Да только будет ли медведю от этого польза и удовольствие?" (с) А. и Б. Стругацкие
Неактивен
#2 18-01-10 15:22:22
- Luca
- Участник
- Зарегистрирован: 03-09-09
- Сообщений: 1,413
Re: Сайт
От кнопки "все комменты" определенно нужно избавляться.
Актимель - Эльф ушастый,
ты в HTML и скриптах хорошо разбираешься? Что собственно нужно. Нужно сделать фикс, который страницу с комментами "все комменты" будет именовать первой страницей, а остальные страницы уже будут идти по порядку.
Архив с шаблоном https://stoplinux.org.ru/RGB.rar
Править нужно RGB/plugins/comments
CMS брать тут
Неактивен
#3 15-04-10 21:26:24
- SemyonKozakov
- Журнашлюшка :)
- Из Саратов
- Зарегистрирован: 28-11-09
- Сообщений: 4,109
- Сайт
Re: Сайт
Не знаю, куда писать, но всё-таки: что с сайтом?
https://nolinux.w2c.ru - море баттхерта и деаонимизации
Неактивен
#4 05-05-10 09:35:50
- usr_share
- Участник
- Зарегистрирован: 13-03-10
- Сообщений: 1,470
Re: Сайт
Эх, а мы все думали, что IIS такой супер-пупер-надежный и вообще в сто раз лучше Apache, а на деле сайт поломали 
Хотя, конечно, безопасность ресурса не сильно зависит от движка, а скорее от кривизны рук сисадмина
P.S. Может, Linux и не так хорош, как о нём говорят, но мне он нравится, а вообще -- где хоть что-нибудь другое опенсорсное, что можно нормально поюзать?
Редактировался usr_share (05-05-10 09:37:47)
Неактивен
#5 05-05-10 10:46:58
- Luca
- Участник
- Зарегистрирован: 03-09-09
- Сообщений: 1,413
Re: Сайт
d1337r,
Ты читать не умеешь? Дырка в движке. Движок ОпенСорс и каждый кому приспичит може пользуяюсь исходными кодами еще десять дырок найти.
Неактивен
#6 05-05-10 11:20:43
- dimitrio1
- Гость
Re: Сайт
Luca, движок вы сами выбрали. ССЗБ.
Дыра не закрыта, зря главную открыли.
Пруф: https://stoplinux.org.ru/plugin/comment … 444&page=5
#7 05-05-10 11:27:55
- usr_share
- Участник
- Зарегистрирован: 13-03-10
- Сообщений: 1,470
Re: Сайт
Luca, я читать-то умею. Но где тут написано "дырка в движке"? Про взлом тут вообще три с половиной сообщения, и про "дырку в движке" ничего не сказано. А дырки бывают везде. Может, в опенсорсных проектах их и больше находят, но их и быстрее исправляют 
Неактивен
#8 05-05-10 11:31:44
- dimitrio1
- Гость
Re: Сайт
Luca, движок вы сами выбрали. ССЗБ.
Дыра не закрыта, зря главную открыли.
Пруф: https://stoplinux.org.ru/plugin/comment … 444&page=5
Ссылка на обычную тему. В последнем посте картинка. При загрузке картинки автоматически происходит выход с сайта, в этом проявляется уязвимость. Пароль не изменяется.
#9 05-05-10 11:41:27
- ont
- Участник
- Зарегистрирован: 28-04-10
- Сообщений: 57
Re: Сайт
Ссылка на обычную тему. В последнем посте картинка. При загрузке картинки автоматически происходит выход с сайта, в этом проявляется уязвимость. Пароль не изменяется.
Тут нет уязвимости... В GET присутствует параметр csrf_token
csrf_token=4b13d29fad2342d565f655724490d162d5d1c91bОн уникальный для каждого пользователя. Нужно его угадать, чтобы выкинуть другого пользователя с форума 
Для тебя работает, а для остальных -- нет.
Удаление аватары должно работать 100%
Неактивен
#10 05-05-10 11:43:47
- usr_share
- Участник
- Зарегистрирован: 13-03-10
- Сообщений: 1,470
Re: Сайт
XSRF? Это баги довольно сложные для фильтрации, могут проявляться где угодно. Вот если бы это была SQL-инъекция, это было бы нормально ещё. Хотя, видимо по csrf_token, который отличается для каждого юзера, тут даже её все-таки фильтруют.
Редактировался usr_share (05-05-10 11:44:47)
Неактивен
#11 05-05-10 11:52:19
- dimitrio1
- Гость
Re: Сайт
dimitrio1 пишет:Ссылка на обычную тему. В последнем посте картинка. При загрузке картинки автоматически происходит выход с сайта, в этом проявляется уязвимость. Пароль не изменяется.
Тут нет уязвимости... В GET присутствует параметр csrf_token
csrf_token=4b13d29fad2342d565f655724490d162d5d1c91bОн уникальный для каждого пользователя. Нужно его угадать, чтобы выкинуть другого пользователя с форума
Для тебя работает, а для остальных -- нет.
Ну да.
Нужно внести изменения в обработчик бб-кода [img ][/img ], кроме того, необходимо внимательно просмотреть core.php (если не ошибаюсь, это основной скрипт здешней CMS).
Редактировался dimitrio1 (05-05-10 12:22:09)
#12 05-05-10 12:13:37
- dimitrio1
- Гость
Re: Сайт
Luca, а какие ещё масштабные проекты используют эту же CMS?
#13 05-05-10 12:22:59
- ont
- Участник
- Зарегистрирован: 28-04-10
- Сообщений: 57
Re: Сайт
Luca, а какие ещё масштабные проекты используют эту же CMS?
https://wiki.ngcms.ru/index.php/%D0%A1%D … 0%B0_NGCMS
Этот сайт самый занимательный из списка
Удаление аватары должно работать 100%
Неактивен
✅ Выделенные от 3000 ₽/месяц. RAM 4-64GB, DISK до 4TB;
✅ Intel Xeon, SSD, XEN, iLO/KVM, Windows/Linux, Администрирование;
✅ Бесплатно Full Backup и Anti-DDoS.