• XSS.stack #1 – первый литературный журнал от юзеров форума

Invision Power Board [IPB]

Отслеживать
Товарищи! Я поставил себе этот движок версии 2.1.7
Все работает нормально, только не открывается (не отображается) вкладка "компоненты". Изза этого не могу моды некоторые настраивать.
 
Winux
Там ссылка не на http://ibresource.ru/, а на http://www.ws.ea7.net/ стоит, пошлют по любому.
P.S. если интересно свой нуль малость подправленный под джина.ру я публиковал выше в этой теме.
Sanchous
Спасибо :)
 
только не открывается (не отображается) вкладка "компоненты"
Файл [root]/skin_acp/IPB2_Standard/acp_skin_html/acp_skin_global.php
Содержимое блока Top TABS
Код: 
//===========================================================================
// Top TABS
//===========================================================================
function global_tabs($onoff="") {

$IPBHTML = "";
//--starthtml--//

$IPBHTML .= <<<EOF
<div class='{$onoff['content']}'><img src='{$this->ipsclass->skin_url}/images/content.png' style='vertical-align:middle' /> <a href='{$this->ipsclass->base_url}&section=content'>УПРАВЛЕНИЕ</a></div>
<div class='{$onoff['lookandfeel']}'><img src='{$this->ipsclass->skin_url}/images/mainmenu.png' style='vertical-align:middle' /> <a href='{$this->ipsclass->base_url}&section=lookandfeel'>ВНЕШНИЙ ВИД</a></div>
<div class='{$onoff['tools']}'><img src='{$this->ipsclass->skin_url}/images/config.png' style='vertical-align:middle' /> <a href='{$this->ipsclass->base_url}&section=tools'>НАСТРОЙКИ</a></div>
<div class='{$onoff['components']}'><img src='{$this->ipsclass->skin_url}/images/users.png' style='vertical-align:middle' /> <a href='{$this->ipsclass->base_url}&section=components'>КОМПОНЕНТЫ</a></div>
<div class='{$onoff['admin']}'><img src='{$this->ipsclass->skin_url}/images/config.png' style='vertical-align:middle' /> <a href='{$this->ipsclass->base_url}&section=admin'>ПРОЧЕЕ</a></div>

EOF;

//--endhtml--//
return $IPBHTML;
}
 
Весьма интересная информация об ответственности кодеров IPB...
Зайдя сегодня на багтрак, обнаружил там инфу об sql-инъекции. Правда в старых бордах (<=2.1.3) Актуальность вроде бы нулевая. Однако стало интересно, что же внутри. Вот описание одной из уязвимостей:
Код: 
$addrs[] = $_SERVER['HTTP_CLIENT_IP'];
 $addrs[] = $_SERVER['REMOTE_ADDR'];
 $addrs[] = $_SERVER['HTTP_PROXY_USER'];
 
 foreach ( $addrs as $ip )
 {
  if ( $ip )
  {
   $this->ip_address = $ip;
   break;
  }
 }
Ничего не напоминает? Подсказка: r57ipb216gui ;)
Сперва подумалось, что очередной горе-багоискатель. Но затем внимание было переведно на дату написания оригинала адвисори...
Sent: 05 January 2006 02:53
Сколько версий инвижена было выпущено с тех пор? Минимум 3 (2.1.4,2.1.5,2.1.6). Однако дырка с CLIENT_IP благополучно жила и здравствовала во всей линейке 2.1.* вплоть до 2.1.7.
Вот так вот :D
 
Winux скинь плиз модом «Реплика модератора»
и этот заодно, если не сложно

14ccb063ec05.jpg


я себе уже подобный поставит тока он к сожалению гостей, ботов, и скрыты не показывает.
 
Новая заплатка с официального сайта для IPB 2.1.х

В sources/action_admin/member.php

найти:
Код: 
 $joined = $this->ipsclass->get_date( $r['joined'], 'JOINED' );

$people .= <<<EOF
<td width='{$td_width}%' align='left' class='$class'>

добавить выше:
Код: 
$avatar = "<img src='{$this->ipsclass->skin_url}/images/memsearch_head.gif' border='0' />";

Ссылка на статью
 
Народ помогите плиз.
На форуме появилась мра*ь с пустым ником и зафлудила все темы я её уже один рас удалял, сёдня смотрю вновь появилась.
Как ему воще удалось пустой ник зарегить так что я его через админку исправить на др. не могу?
И как вообще запретить регистрацию пустых ников?
 
И как вообще запретить регистрацию пустых ников?
а разве можно регить пустой ник? о_0

так что я его через админку исправить на др. не могу?
попробуй через SQL
 
Winux скинь плиз модом «Реплика модератора»
и этот заодно, если не сложно
А морду вареньем. Это наш с гритом модифицированный мод.

он к сожалению гостей, ботов, и скрыты не показывает.
У нас тут все стандартно - дело в настройках.
 
А морду вареньем. Это наш с гритом модифицированный мод.
Я уже нашёл подобный :)

У нас тут все стандартно - дело в настройках.
Попробую сам сделать.

а разве можно регить пустой ник? о_0
Если у меня на 2.1.7 можно значит есть дырка во всей линейке.



Он у меня даже в админке в своей группе юзеров не виден, я его тока по IP нахожу.
 
а разве можно регить пустой ник? о_0

можно:) я создавал на некоторых от нечего делать:)))


Alt+0160 на правой клаве цифры набери, будет недокументированный пробел, который проходит везде:)))


PS: простой пробел не пройдет
 
то как я гвоорил?

По другому не получилось бы. А решается проблема, по идее, просто - в админке добавлять все ники, использующие этот символ, к числу забаненных :D
 
По другому не получилось бы. А решается проблема, по идее, просто - в админке добавлять все ники, использующие этот символ, к числу забаненных


на этот случай есть еще один пробел, завтро на съемном жестком посомтрю, у меня вроде были записнаны команды:)))


есть еще вариант

этот пробле, потом обычный пробел, потом опять пробел... хотя... действительно, можно и забанить этот пробе, и все кто с ним-в бан
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх