RWinner's HTML Free :-) (типо Мод =))

[RWinner]

Удалил исходное сообщение, бо совсем не актуально уже.

***

1. Разрешает показ HTML-форматированного текста сообщений любому посетителю, вне зависимости от настроек форума.

2. Позволяет юзеру с ником SomeUserName (может быть заменено на любое другое) постить любые HTML-конструкции вне зависимости от настроек форума.
Для этого в приведенных ниже кодах надо изменить SomeUserName на любое другое на ваш выбор.

3. Если заменить нижеприведенные конструкции

Код: Выделить всё

$userdata['username'] != "SomeUserName"

на

Код: Выделить всё

$userdata['user_level'] != 1

и

Код: Выделить всё

$userdata['username'] == "SomeUserName"

на

Код: Выделить всё

$userdata['user_level'] == 1

то правами упомянутыми в п.2 будут обладать все администраторы.
Можно еще и модераторов конечно добавить - но им слишком жирно будет, имхо =))

**********************************************

установка простая - 5 минут времени.

**********************************************

Открыть functions_post.php

***

найти:

Код: Выделить всё

global $board_config, $html_entities_match, $html_entities_replace;

заменить на:

Код: Выделить всё

global $board_config, $html_entities_match, $html_entities_replace, $userdata;

***

найти:

Код: Выделить всё

$message = trim($message);

        if ($html_on)

заменить на:

Код: Выделить всё

$message = trim($message);

        if ($html_on && ($userdata['username'] != "SomeUserName"))

***
перед:

Код: Выделить всё

else
        {
                $message = preg_replace($html_entities_match, $html_entities_replace, $message);

вставить:

Код: Выделить всё

/*RWinner's HTML Free begin*/
        elseif($userdata['username'] == "SomeUserName"){

                $message = trim($message);
              
        }
/*RWinner's HTML Free end*/

/*********************************************************/

Открыть viewtopic.php

***

найти:

Код: Выделить всё

                if ( $postrow[$i]['enable_html'] )
                {
                        $message = preg_replace('#(<)([\/]?.*?)(>)#is', "<\\2>", $message);
                }

заменить на:

Код: Выделить всё

/* RWinner's HTML Free begin
                if ( $postrow[$i]['enable_html'] )
                {
                        $message = preg_replace('#(<)([\/]?.*?)(>)#is', "<\\2>", $message);
                }
                RWinner's HTML Free end */

***

В виде обычного мода, кинул сюда: http://www.phpbb.com/phpBB/viewtopic.php?t=359663

[Vladson]

RWinner
Всё что ты добъёшься это сделаешь одну большую дыру в безопасности !!!
(поверь мне, я знаю что говорю)

[RWinner]

RWinner
Всё что ты добъёшься это сделаешь одну большую дыру в безопасности !!!
(поверь мне, я знаю что говорю)

Для того чтобы реализовать своё стремление верить - у меня есть религия. А когда речь заходит о программировании, то простой аналитикии и достоверных данных вполне достаточно.

Можно поконкретнее про данный вопрос в контексте безопасности? В чем именно заключается возможная уязвимость данного подхода?

[Vladson]

Админ мог бы постить все HTML теги,

Представте себе, вы админ, вы пошли по ссылке (на посторонний сервер, где как вы думаете анекдот)

Там:
- форма отправки сообщения на ваш форум,
- с помощью JS автоматически заполняет в ней JavaScript способный украсть cookie отправителя и автоматически отправляется

Уже на вашем сервере:
- скрипт posting.php уже на вашем сервере видит что вы админ и постит в форум вредоносный JavaScript
- после чего вас естественно перенаправляет на просмотр отправленного сообщения и JavaScript уже выполняется с вашего сервера отправляя ваш cookie хакеру

Короче говоря XSS в чистом виде, только ещё проще (не нужно искать способов вставить код в страницу, достаточно сделать так чтоб это сделали вы сами того не зная)

Добавлено спустя 2 минуты 50 секунд:

Я так однажды сделал "флуд-машину" после открытия её пользователь сам того не зная начинает постить всякий бред (от своего акаунта) и представте себе какие это возможности даст в вашем случае...

[RWinner]

Прикольно

Vladson, скажу честно - я с JS совершенно не дружу, а посему мне трудно оценить вероятность такого сценария. И в частности возможность похищения моих куков на стороннем сервере при помощи JS.

Неужели разработчики браузеров об этом совершенно не подумали?


Окей. Спасибо за данные. Учту. Проверю. Посмотрю как это можно обойти, если это так и есть :wink:

[ssmol]

Vladson

теоритически все верно... но возникает вопрос. насколько безумен должен быть админ чтобы шлятся по левым ссылкам запостеным в форум под админ сессией???
имхо если уж хочется шлятся по левым ссылкам то для такого держать нужн простой аккаунт и на втором браузере может я параноик но я делаю именно так. (админка с оперы 9 и тока в пределах своего сайта для всего остального другие акаунты и фаерфокс с ослом)

[RWinner]

Ну в общем-то да конечно. И в принципе для меня сие не актуально - у меня с такими правами RSS-бот будет сидеть. А в браузере естественно стоит расширение, блокирующее JS.

Но с другой стороны, меня огорчила сама информация, что мои куки может кто-нибудь спереть... Нехорошо всё это... неправильно...

[VVVas]

$userdata['username'] != "SomeUserName"

ИМХО лучше юзать ID пользователя.

1 Терапевт = 1024 Гигапевта

= 1048576 мегапевтов

[RWinner]

1 Терапевт = 1024 Гигапевта

= 1048576 мегапевтов

а если терапевта записать в двоичном коде...

***

насчет ID - ну может станет оно на миллисекунду побыстрее, только и всего... опять-таки не надо лишний раз в базу лазить - ID смотреть...

хотя с точки зрения "канонов" в общем-то да - циферки, они компьютеру ближее чем буковки... =))

***

кстати, можно вопрос по ходу дела?

у меня в процессе тестирования (добавления-стирания постов) получилость так, что порядок ID у постов примерно такой: 1, 2, 3, 4, 5, 478, 479...

кто-нибудь мерял насколько сильно это сказывается на скорости работы форума? или это вообще неважно?

[VVVas]

насчет ID - ну может станет оно на миллисекунду побыстрее, только и всего... опять-таки не надо лишний раз в базу лазить - ID смотреть...

Это более однозначно, я исхожу из этого, и мне почему то кажеться что так безопасней.

Добавлено спустя 1 минуту 36 секунд:

кто-нибудь мерял насколько сильно это сказывается на скорости работы форума? или это вообще неважно?

всего насего автоинкремент, все в порядке, темы кстати точно так же идут. Насчет скорости - тема "Загрузка сервера" в обсуждении phpBB

[Vladson]

RWinner

скажу честно - я с JS совершенно не дружу, а посему мне трудно оценить вероятность такого сценария

Именно по тому что это давольно сложно понять человеку который не имеет достаточного опыта в этой области я сначала просто сказал...

поверь мне, я знаю что говорю

Так как утомлять объяснениями в таком случае нет смысла, всё равно не зная логики процесса не понять его тонкостей...

ssmol

насколько безумен должен быть админ чтобы шлятся по левым ссылкам запостеным в форум под админ сессией?

Причём тут левые ссылки ?
(на ней вовсе не написано что она левая, она вполне может на первый взгляд вызывать доверие)
Не все так параноидально относятся к безопасности как вы...

И кстати есть админы которые ходят по ссылкам, в моей практике был такой случай когда я прислал админу (одного очень раскрученного ресурса) в ЛС "подозрительную" ссылку а админ по ней перешёл даже не думая о том что это может послужить причиной чего-то страшного...
(но так как у меня не было злых намерений, всё кончилось хорошо)

[Zen]

Админы бывают разные. На одном форуме, я там тоже админ, живет примерно 7 админов, все кликают по ссылкам, мне кажется даже по таким http://eto_zloy_troy.ru, и все ходят ослом. На мои страшные рассказы про злых хакеров никто не реагирует.

[Vladson]

На мои страшные рассказы про злых хакеров никто не реагирует.

На мои тоже не реагировали (более того посылали меня "нафик") но после того как к ним пришёл товарищь "Santy" они просто обиделись и подумали сначала что это я их так "отделал"

[RWinner]

VVVas, Vladson, спасибо за внимание к моему хаку

Может еще вернемся к этой теме - как будет настроение - намерен над ним еще поизвращаться =))

[Vladson]

спасибо за внимание к моему хаку

Да всегда пожалста (у меня бывали и более "гениальные" идеи)