VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Чего-то меня в последнее время сильно беспокоит Гондурас. Вроде и не чешу, и мою часто... Но вот что дает XSpider, который уже более 3 суток подряд насилует мой сервер и когда у него приключится оргазм - я даже не представляю.
Что, вероятно, кагбэ намекает на то, что продукт List All Threads от GiveMeABreak не является венцом творения и надо бы его немного подправить. Сам пока не копал (банально нет времени), есть идеи по чему поводу?
Если разберемся с этим - подкину еще список уязвимостей, не зря ж сканер пашет по полной?
Уязвимости действительно имеются? или это просто вырезки пз логов сервера?
Код смотрели? фильтрация, инты и т.д.
@Gostemilov
Специалист
Join Date: Jun 2007
Location: Одинцово Московская область
Награды в конкурсах:
Posts: 610
Версия vB: 3.8.4
Reputation:
Professional 630
Репутация в разделе: 50
0
Это вырезки из лога сканера вебуязвимостей XSpider 7.7, режим "Полное сканирование вебверсера". Сканирование идет уже 3 суток и пока конца не видно. Это - из найденного. Есть еще SQL и XSS в VideoTube Pro, Photopost , Photoplog. Но там пока по одной. А тут больше.
PHP Code:
<?php // All threads list 1.0 // Все темы на одной странице // by GiveMeABreak
// ####################### SET PHP ENVIRONMENT ########################### error_reporting(E_ALL & ~E_NOTICE);
// ################### PRE-CACHE TEMPLATES AND DATA ###################### // get special phrase groups $phrasegroups = array('forumdisplay', 'inlinemod', 'prefix');
// get special data templates from the datastore $specialtemplates = array();
// pre-cache templates used by specific actions $globaltemplates = array( 'allthreads_threadbits', 'allthreads_threadlist');
// ################### PRE-CACHE TEMPLATES AND DATA ###################### // get special phrase groups $phrasegroups = array('forumdisplay', 'inlinemod', 'prefix');
// get special data templates from the datastore $specialtemplates = array();
// pre-cache templates used by specific actions $globaltemplates = array( 'allthreads_threadbits', 'allthreads_threadlist');
Попробуйте так, и продолжите в том же духе.
Т.е. GET[sort] действительно никак не фильтровалось.
@Gostemilov
Специалист
Join Date: Jun 2007
Location: Одинцово Московская область
Награды в конкурсах:
Posts: 610
Версия vB: 3.8.4
Reputation:
Professional 630
Репутация в разделе: 50
0
Я-то продолжу! Главное, чтобы свет не отрубили во время сканирования (ИБП нет) а то все придется сначала Обещаю честно рассказать обо всем найденном, за решение - спасибо!
@StenLi
На доске почёта Пожизненный блэк
Join Date: Aug 2008
Награды в конкурсах:
Posts: 2,729
Версия vB: 3.6.x
Reputation:
Expert 1991
Репутация в разделе: 636
0
Gostemilov, Сканером ты просто забьешь катал хостера + наделаешь кучу ненужных логов.
Нужно перед установкой продукты проверять...
PS. В крайнем случае - после установки.
А если нет возможности самому проверить, то всегда можно заказать аудит безопасности...
Luvilla
Гость
Posts: n/a
Quote:
Originally Posted by StenLi
Сканеры для автоматического поиска уязвимостей - хрень полнейшая.
угу...
напускали одного такого в порядке эксперимента на воблу, в которой был заведомо дырявый хак (уязвимый файл)
дыру скрипт проигнорировал, зато долго мучил форму обратной связи...
@StenLi
На доске почёта Пожизненный блэк
Join Date: Aug 2008
Награды в конкурсах:
Posts: 2,729
Версия vB: 3.6.x
Reputation:
Expert 1991
Репутация в разделе: 636
0
Luvilla, Меня больше всего напрягает, когда компании, которые якобы занимаются аудитом безопасности - берут с бедных клиентов по 200-300 тысяч рублей за аудит, а на самом деле сканят такими вот хспайдерами и аркс сканерами.
Я несколько раз за такими переделывал.
@Gostemilov
Специалист
Join Date: Jun 2007
Location: Одинцово Московская область
Награды в конкурсах:
Posts: 610
Версия vB: 3.8.4
Reputation:
Professional 630
Репутация в разделе: 50
0
Ну, за хостера не волнуйтеся, граждане, я сам себе хостер, хороший дедик снимает мне массу проблем.
Сама страница переименована в настройках хака в videosklad, вот она:
PHP Code:
<?php // +------------------------------------------------------------------------+ // | vBTubePRO v2.1.8_vB3 // +------------------------------------------------------------------------+ // | vBTube(PRO) IS NOT FREE SOFTWARE // | If you have downloaded this software from a website other // | than www.vbtube.com or if you have received // | this software from someone who is not a representative of // |vBtube.com, it's likely that you are involved in an illegal activity. // | --- // | In such case, please contact: muratmunich@gmail.com // +------------------------------------------------------------------------+ // | Developed by: Murat Kartal (www.vbtube.com) / muratmunich@gmail.com // | Copyright: (c) 2007-2010 vBTube.com. All rights reserved. // | Notatus.de (Kreuzkamp & Partner) Certificate Number: 0916-2009 // +------------------------------------------------------------------------+
$iscat=1; break; case 'topphotos': $vbt_db="active=1 AND tube='' AND mediatype='photo' ORDER BY rating DESC LIMIT"; $vbt_db_count="WHERE active=1 AND tube='' AND mediatype='photo'"; $vbt_pager=$vbulletin->options['vbtube_index'].'?do=topphotos'; $vbt_var['site_descr']=&$vbphrase['vbtube_bestphotos']; $isphoto=1; break; case 'most_viewed': $vbt_db="active=1 AND tube='' ORDER BY views DESC LIMIT"; $vbt_db_count="WHERE active=1 AND tube=''"; $vbt_pager=$vbulletin->options['vbtube_index'].'?do=most_viewed'; $vbt_var['site_descr']=&$vbphrase['vbtube_most_viewed']; break; case 'most_voted': $vbt_db="active=1 AND tube='' ORDER BY votes DESC LIMIT"; $vbt_db_count="WHERE active=1 AND tube=''"; $vbt_pager=$vbulletin->options['vbtube_index'].'?do=most_voted'; $vbt_var['site_descr']=&$vbphrase['vbtube_most_voted']; break; case 'search': if(!($permissions['vbtube'] & $vbulletin->bf_ugp['vbtube']['cansearch'])){ print_no_permission(); } $searchtext = $vbulletin->input->clean_gpc('r', 'mstr', TYPE_STR); if(!$searchtext) $vbulletin->input->clean_gpc('p', 'mstr', TYPE_STR); $vbt_db="keywords LIKE '%" . $db->escape_string($searchtext) . "%' AND active = 1 ORDER BY joindate DESC LIMIT"; $vbt_db_count="WHERE keywords LIKE '%" . $db->escape_string($searchtext) . "%' AND active = 1 AND tube=''"; $vbt_pager=$vbulletin->options['vbtube_index'].'?do=search&mstr='.$searchtext; $vbt_var['site_descr']=$vbphrase['vbtube_number_results'].' : '.$searchtext;
if($vbulletin->userinfo['userid']) { // Save to DB $db->query_first("DELETE FROM " . TABLE_PREFIX . "vbtube_lastkeywords WHERE lastkeywords = '" . $db->escape_string($searchtext) . "' "); $searchtext3 = $searchtext; $searchtext3 = strip_tags(htmlspecialchars_uni($searchtext3)); $db->query_write("INSERT " . TABLE_PREFIX . "vbtube_lastkeywords SET lastkeywords= '" . $db->escape_string($searchtext3) . "', username = '" . $db->escape_string($vbulletin->userinfo['username']) . "', userid = '$whois', userip = '$userip' "); } break; case 'mymedia': $mymedia_user = $vbulletin->input->clean_gpc('r', 'u', TYPE_UINT); if(!$vbulletin->userinfo['userid'] AND !$mymedia_user) print_no_permission(); if(!$mymedia_user) { $mymedia_user=&$vbulletin->userinfo['userid']; $whois_name=&$vbulletin->userinfo['username']; } else { // Get Username $vbtdata = $db->query_first(" SELECT userid,username FROM " . TABLE_PREFIX . "user WHERE userid='$mymedia_user' "); $whois_name=$vbtdata['username']; } $vbt_db="userid=$mymedia_user AND active=1 ORDER BY joindate DESC LIMIT"; $vbt_db_count="WHERE userid=$mymedia_user AND active=1"; $vbt_pager=$vbulletin->options['vbtube_index'].'?do=mymedia&u='.$mymedia_user; $vbt_var['site_descr']=$vbphrase['vbtube_user_list'].' '.$whois_name; $dismenu=1; $dropdown=''; break; case 'myfavs': $myfavs_user = $vbulletin->input->clean_gpc('r', 'u', TYPE_UINT); if(!$vbulletin->userinfo['userid'] AND !$myfavs_user) print_no_permission(); if(!$myfavs_user) { $myfavs_user=&$vbulletin->userinfo['userid']; $whois_name=&$vbulletin->userinfo['username']; } else { // Get Username $vbtdata = $db->query_first(" SELECT userid,username FROM " . TABLE_PREFIX . "user WHERE userid='$myfavs_user' "); $whois_name=&$vbtdata['username']; } $vbt_pager=$vbulletin->options['vbtube_index'].'?do=myfavs&u='.$myfavs_user; $vbt_var['site_descr']=$vbphrase['vbtube_user_favlist'].' '.$whois_name; $isfav=1; $dismenu=1; $dropdown=''; break; case 'most_viewed_photos': $vbt_db="active=1 AND tube='' AND mediatype='photo' ORDER BY views DESC LIMIT"; $vbt_db_count="WHERE active=1 AND tube='' AND mediatype='photo'"; $vbt_pager=$vbulletin->options['vbtube_index'].'?do=most_viewed_photos'; $vbt_var['site_descr']=&$vbphrase['vbtube_most_viewed']; $isphoto=1; break; case 'most_voted_photos': $vbt_db="active=1 AND tube='' AND mediatype='photo' ORDER BY votes DESC LIMIT"; $vbt_db_count="WHERE active=1 AND tube='' AND mediatype='photo'"; $vbt_pager=$vbulletin->options['vbtube_index'].'?do=most_voted_photos'; $vbt_var['site_descr']=&$vbphrase['vbtube_most_voted']; $isphoto=1; break; }
// Favget $tubes_get = $db->query_read("SELECT vbtube_favourites.tubeid AS ftubeid, vbtube_tubes.userid AS userid, vbtube_tubes.username AS username, vbtube_tubes.tubeid AS tubeid, vbtube_tubes.title AS title, vbtube_tubes.mediatype AS mediatype, vbtube_tubes.site AS site, vbtube_tubes.aboutme AS aboutme, vbtube_tubes.link1img AS link1img, vbtube_tubes.thumb_type AS thumb_type, vbtube_tubes.views AS views, vbtube_tubes.votes AS votes, vbtube_tubes.rating AS rating, vbtube_tubes.duration AS duration, vbtube_tubes.joindate AS joindate
FROM " . TABLE_PREFIX . "vbtube_favourites AS vbtube_favourites LEFT JOIN " . TABLE_PREFIX . "vbtube_tubes AS vbtube_tubes ON (vbtube_tubes.tubeid = vbtube_favourites.tubeid) WHERE vbtube_favourites.userid = '$myfavs_user' ORDER BY tubeid DESC LIMIT $startid,$page_results "); } else { // Count for Pages $totalrecords = $db->query_first(" SELECT COUNT(`tubeid`) AS `totalrecords` FROM `" . TABLE_PREFIX . "vbtube_tubes` AS tubes $vbt_db_count ");
//Main END //################################################################################################ //################################################################################################
//Modules if($vbulletin->options['vbtube_show_topbit']) include 'vbtube/includes/vbtube_topbitrnd.php'; if($vbulletin->options['vbtube_show_lkey']) include 'vbtube/includes/vbtube_lkeybit.php'; if($vbulletin->options['vbtube_show_voting']) include 'vbtube/includes/vbtube_randompoll.php'; if($vbulletin->options['vbtube_rndbit']) include 'vbtube/includes/vbtube_randombit.php'; if($vbulletin->options['vbtube_show_anc']) include 'vbtube/includes/vbtube_ancbit.php'; if($vbulletin->options['vbtube_show_lposts']) include 'vbtube/includes/vbtube_commentsbit.php'; if($vbulletin->options['vbtube_whol']) include 'vbtube/includes/vbtube_online.php'; if($vbulletin->options['vbtube_show_lthreads']) include 'vbtube/includes/vbtube_threadsbit.php'; if($dropdown) include 'vbtube/includes/vbtube_dropdown.php';
if($vbulletin->options['vbtube_show_boc'] AND !$islist) { // Best of Cat $boc_res=&$vbulletin->options['vbtube_show_boc']; $boc_get = $db->query_read(" SELECT categoryid,title,cattype,totaltubes,descr,boc,boctitle,bocabout,bocimg,bocuser,bocuid FROM " . TABLE_PREFIX . "vbtube_categories WHERE cattype=1 AND totaltubes > 1 AND deleted = 0 ORDER BY rand() LIMIT $boc_res ");
Помозгуем?
Главное, чтобы свет не отрубили во время сканирования (ИБП нет) а то все придется сначала 
