Привет всем. Проблема такая:
Сначала один юзер написал, что другой юзер считывает инфу о пользователях.
"Вот это смайлик оригинальный размещенный на этом сервере
images/smilies/kolobok_evil.gif
А вот точно такой же смайлик, взятый из сообщения пользователя "не_бывалый" 10 минут назад:
http://70.48.154.3:8080/evil.gif
Каждый кто открывает у себя в браузере страницу с сообщением от "не_бывалый" содержащим подобный подмененный смайлик, отправляет запрос на получение картинки смайлика не на сервер forum.ca, а по адресу 70.48.154.3.
В итоге "не_бывалый" видит ваш АЙПИ, вашу систему, ваш браузер.
Зная кто сейчас находится в теме, кто пишет ответы, именно сейчас, он может соотнести ваш айпи с вашим ником на форуме, и в принципе может организовать атаку по вашему айпи. Прозондировать ваши порты, найти открытые ресурсы и бреши."
тот же юзер сказал, что можно делать такие вещи с помощью маленькой картинки фона форума, попросил возможность отключать картинки от поределенных пользователей или картики с внешних ресурсов обводить рамочкой (чтобы сразу видно было). - не думаю, что все это имеет смысл, но вопросов у меня много, связано с тем, что народ огорчился/испугался, оказалось что на форуме есть люди пересекавшиеся на других ресурсах и там у них подобным образом забрались в личну переписку, личное мыло вытащили и даже вроде само мыло вскрыли. Один человек даже решил свалить... испугалась девушка.
В общем вопросы:
1. Чем реально грозят подобные ссылки на чужой сервер? Какая инфа о пользователях может быть получена таким образом? Как закрыть эту дыру?
2. Какие другие проблемы/"дыры" существуют, которые могут навредить пользователям форума, хотя бы теоретически?
3. Какие существуют варианты хакнуть форум?, получить доступ к личным данным юзеров: паролям, переписке? Создавать темы, ответы в топиках в автоматичсеком режиме? Каковы превентивные меры, если они нужны?
4. Персональное любопытство: что это такое за странный адрес сервера 70.48.154.3. Точнее я привык, что в строку забивается доменное имя, а здесь вроде как айпишник. Как такое может быть?
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Безопасность форума.
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Мини [FAQ] по phpBB3.1.x | FAQ-3 (phpbb3) | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Мини [FAQ] по phpBB3.1.x | FAQ-3 (phpbb3) | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение
).
Безопасность форума.
Последний раз редактировалось RIMs 14.03.2015 21:53, всего редактировалось 1 раз.
-
xisp
- phpBB 3.0.0 RC7
- Сообщения: 1798
- Стаж: 11 лет 10 месяцев
- Благодарил (а): 152 раза
- Поблагодарили: 215 раз
- Забанен: Бессрочно
Re: Безопасность форума.
Не верно. Есть дополнения, режущие запросы на сторонние сервисы.RIMs писал(а):Каждый кто открывает у себя в браузере страницу с сообщением от "не_бывалый" содержащим подобный подмененный смайлик, отправляет запрос на получение картинки смайлика не на сервер canadovka.ca, а по адресу 70.48.154.3
Ваш юзер был прав:RIMs писал(а):Чем реально грозят подобные ссылки на чужой сервер? Какая инфа о пользователях может быть получена таким образом?
Не больше.RIMs писал(а):В итоге "не_бывалый" видит ваш АЙПИ, вашу систему, ваш браузер.
Запретить вставлять картинки со сторонних сайтов.RIMs писал(а):Как закрыть эту дыру?
Скорее хостинг хакнут. phpBB достаточно надёжный софт.RIMs писал(а):Какие существуют варианты хакнуть форум?
Легко. Скажу больше- в адресную строку можно вбивать вообще весьма странные вещи, например, айпи версии 6- http://[::ffff:77.88.21.8]/, тот же айпи, только в десятичной форме, типа http://1297618184/, или даже в смеси разных систем счисления, типа http://77.88.0x15.010/ .В общем писец http://0x4d581508/RIMs писал(а):Как такое может быть?
Последний раз редактировалось xisp 14.03.2015 21:40, всего редактировалось 1 раз.
phpBBex
-
Anvar
- Former team member
- Сообщения: 1965
- Стаж: 14 лет
- Благодарил (а): 67 раз
- Поблагодарили: 799 раз
- Контактная информация:
Re: Безопасность форума.
Это реальный адрес сайта, возможно вашего и вашим смайлом.RIMs писал(а):что это такое за странный адрес сервера 70.48.154.3.
-
xisp
- phpBB 3.0.0 RC7
- Сообщения: 1798
- Стаж: 11 лет 10 месяцев
- Благодарил (а): 152 раза
- Поблагодарили: 215 раз
- Забанен: Бессрочно
Re: Безопасность форума.
Вряд ли. На том сервере картинка в корне, а на форуме в папке смайлов.Anvar писал(а):возможно вашего и вашим смайлом
phpBBex
Re: Безопасность форума.
по косточкам можно разобрать этот адрес
ну, то есть, положим я захотел таким образом получить инфу. 70.48.154.3 - я так понимаю мой айпишник (моего ноута). что такое :8080 и где тогда лежить гифка смайла? какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?
Добавлено спустя 4 минуты 28 секунд:
http://70.48.154.3:8080/evil.gif ?ну, то есть, положим я захотел таким образом получить инфу. 70.48.154.3 - я так понимаю мой айпишник (моего ноута). что такое :8080 и где тогда лежить гифка смайла? какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?
Добавлено спустя 4 минуты 28 секунд:
где эта настройка находится?xisp писал(а):Запретить вставлять картинки со сторонних сайтов.
-
rxu
- phpBB Guru
- Сообщения: 16353
- Стаж: 17 лет 11 месяцев
- Откуда: Красноярск
- Благодарил (а): 535 раз
- Поблагодарили: 2134 раза
- Контактная информация:
Re: Безопасность форума.
Это бред. Так можно проследить судьбу пользователя до кладбища, и сделать вывод, что это из-за картинки на форуме.RIMs писал(а):и там у них подобным образом забрались в личну переписку, личное мыло вытащили и даже вроде само мыло вскрыли
Всё перечисленное в первом посте никакого отношения к безопасности phpBB вообще не имеет. А сканировать можно все айпишники по порядку, существующие в сети. Причем тут безопасность форума?
Через сам phpBB - никаких известных на сегодня.RIMs писал(а):Какие существуют варианты хакнуть форум?
-
Татьяна5
- Поддержка
- Сообщения: 12414
- Стаж: 12 лет 8 месяцев
- Благодарил (а): 224 раза
- Поблагодарили: 3524 раза
- Контактная информация:
Re: Безопасность форума.
Нет, это ip сервера, где находится картинкаRIMs писал(а):70.48.154.3 - я так понимаю мой айпишник
Порт 8080 - httpRIMs писал(а):что такое :8080
Нажать на кнопку "информация" в любом сообщении форума. Или в админке в управлении пользователями (ip с регистрации). Или на странице "кто сейчас на конференции".RIMs писал(а):какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?
(ip это не такая уж "конфиденциальная" информация, его можно узнать на счёт раз, но толку от этого практически не будет)
-
xisp
- phpBB 3.0.0 RC7
- Сообщения: 1798
- Стаж: 11 лет 10 месяцев
- Благодарил (а): 152 раза
- Поблагодарили: 215 раз
- Забанен: Бессрочно
Re: Безопасность форума.
Нет. Это айпи адрес атакующего.RIMs писал(а):ну, то есть, положим я захотел таким образом получить инфу. 70.48.154.3 - я так понимаю мой айпишник (моего ноута).
Используемый порт сервера. Обычно это 80, но тут он может быть занят под полезный ресурс.RIMs писал(а):что такое :8080
Где указано, там и лежать. В данном случаи в корневой папке, заданной в вебсервере.RIMs писал(а):где тогда лежить гифка смайла?
Любой вебсервер с логами.RIMs писал(а): какая прога у меня должна стоять, чтобы я смог получить инфу об айпи, браузере, системе ?
phpBBex
Re: Безопасность форума.
спасибо всем!
Добавлено спустя 52 минуты 57 секунд:
есть возможность заблокировать картинки со сторонних сайтов? где эта настройка лежит?
Добавлено спустя 52 минуты 57 секунд:
есть возможность заблокировать картинки со сторонних сайтов? где эта настройка лежит?
-
xisp
- phpBB 3.0.0 RC7
- Сообщения: 1798
- Стаж: 11 лет 10 месяцев
- Благодарил (а): 152 раза
- Поблагодарили: 215 раз
- Забанен: Бессрочно
Re: Безопасность форума.
Есть расширение, с настройками: Запрет картинок с фотохостингов - Disallow external images
Загрузку картинок со всяких вконтактов и прочих википедий можно и разрешить.
Загрузку картинок со всяких вконтактов и прочих википедий можно и разрешить.
phpBBex
-
Gubkin
- phpBB 2.0.16
- Сообщения: 1085
- Стаж: 8 лет 9 месяцев
- Благодарил (а): 231 раз
- Поблагодарили: 107 раз
- Контактная информация:
Re: Безопасность форума.
Сильно ли влияет на безопасность форума использование BBcode ?
Допустим phpBB [media] — bbcode для вставки аудио, видео, карт и др. опаснее чем просто специализированный код для [youtube]
Допустим phpBB [media] — bbcode для вставки аудио, видео, карт и др. опаснее чем просто специализированный код для [youtube]
Ещё один тупой вопрос и будете забанены. К гуру надо приходить подготовленными, а не как Вы. Вчера создали форум с парой постов, а сегодня уже 20 вопросов )))
-
xisp
- phpBB 3.0.0 RC7
- Сообщения: 1798
- Стаж: 11 лет 10 месяцев
- Благодарил (а): 152 раза
- Поблагодарили: 215 раз
- Забанен: Бессрочно
Re: Безопасность форума.
Только если он позволяет вставить то, что не задумывалось.
Безопасный ббкод.
Без ббкода ничего не скажешь. А то некоторые предлагают ифрейм использовать с источников в виде вводимого пользователем урла- это большая дыра. А некоторые нормальные.
phpBBex
