Внедрение JS в phpBB

Vovochka · Сообщение **Vovochka** » 15.06.2005 9:54

Ага, нашел. Действительно, сверяет IP, но не полностью, а только 6 знаков из 8 (в 16-ричном виде). Теперь понятно, почему дома все так замечательно работает...

Здорово, что я был не прав.
Но ненормальную аватарку я-то на форум загрузил. И, хоть кто-то, да по моей ссылке перешёл...

Сообщение **Mr. Anderson** » 15.06.2005 10:17

Vovochka писал(а):Но ненормальную аватарку я-то на форум загрузил. И, хоть кто-то, да по моей ссылке перешёл...

Полагаю, что достаточно просто отключить удаленных аватар. А по ссылке прошли для эксперимента

Balamut · Сообщение **Balamut** » 15.06.2005 11:07

Я прошёл по ссылке. Действительно

Mr. Anderson писал(а):для эксперимента

После чего сменил пасс. :-)))) На всякий. ;-)))

Vovochka · Сообщение **Vovochka** » 15.06.2005 11:38

Mr. Anderson писал(а): Полагаю, что достаточно просто отключить удаленных аватар

Нет.
Надо запретить закачку аватар. Ведь в том и дело, что файл находится именно в домене форума, следовательно, есть доступ к cookie...

Я запретил закачку аватар. Но форум перестал показывать уже закачанные.
Поэтому в viewtopic.php

Код: Выделить всё

		switch( $postrow[$i]['user_avatar_type'] )
		{
			case USER_AVATAR_UPLOAD:
				$poster_avatar = ( $board_config['allow_avatar_upload'] ) ? '<img src="' . $board_config['avatar_path'] . '/' . $postrow[$i]['user_avatar'] . '" alt="" border="0" />' : '';
				break;
			case USER_AVATAR_REMOTE:
				$poster_avatar = ( $board_config['allow_avatar_remote'] ) ? '<img src="' . $postrow[$i]['user_avatar'] . '" alt="" border="0" />' : '';
				break;
			case USER_AVATAR_GALLERY:
				$poster_avatar = ( $board_config['allow_avatar_local'] ) ? '<img src="' . $board_config['avatar_gallery_path'] . '/' . $postrow[$i]['user_avatar'] . '" alt="" border="0" />' : '';
				break;
		}

надо заменить на

Код: Выделить всё

		switch( $postrow[$i]['user_avatar_type'] )
		{
			case USER_AVATAR_UPLOAD:
				$poster_avatar = '<img src="' . $board_config['avatar_path'] . '/' . $postrow[$i]['user_avatar'] . '" alt="" border="0" />';
				break;
			case USER_AVATAR_REMOTE:
				$poster_avatar = '<img src="' . $postrow[$i]['user_avatar'] . '" alt="" border="0" />';
				break;
			case USER_AVATAR_GALLERY:
				$poster_avatar = '<img src="' . $board_config['avatar_gallery_path'] . '/' . $postrow[$i]['user_avatar'] . '" alt="" border="0" />';
				break;
		}

А в usercp_viewprofile.php

Код: Выделить всё

	switch( $profiledata['user_avatar_type'] )
	{
		case USER_AVATAR_UPLOAD:
			$avatar_img = ( $board_config['allow_avatar_upload'] ) ? '<img src="' . $board_config['avatar_path'] . '/' . $profiledata['user_avatar'] . '" alt="" border="0" />' : '';
			break;
		case USER_AVATAR_REMOTE:
			$avatar_img = ( $board_config['allow_avatar_remote'] ) ? '<img src="' . $profiledata['user_avatar'] . '" alt="" border="0" />' : '';
			break;
		case USER_AVATAR_GALLERY:
			$avatar_img = ( $board_config['allow_avatar_local'] ) ? '<img src="' . $board_config['avatar_gallery_path'] . '/' . $profiledata['user_avatar'] . '" alt="" border="0" />' : '';
			break;
	}

заменить на

Код: Выделить всё

	switch( $profiledata['user_avatar_type'] )
	{
		case USER_AVATAR_UPLOAD:
			$avatar_img = '<img src="' . $board_config['avatar_path'] . '/' . $profiledata['user_avatar'] . '" alt="" border="0" />';
			break;
		case USER_AVATAR_REMOTE:
			$avatar_img = '<img src="' . $profiledata['user_avatar'] . '" alt="" border="0" />';
			break;
		case USER_AVATAR_GALLERY:
			$avatar_img = '<img src="' . $board_config['avatar_gallery_path'] . '/' . $profiledata['user_avatar'] . '" alt="" border="0" />';
			break;
	}

После этого будут отображаться все аватарки, которые были получены форумом до установки запрета на их получение.

Еще я добавил в админпанель пункт о "глобальном" разрешении/запрете показа аватар.

Сообщение **Mr. Anderson** » 15.06.2005 14:38

Vovochka писал(а):Надо запретить закачку аватар

А зачем, если проще не юзать ИЕ?

Хотя разумнее прописать более "глубокую" проверку закачиваемого... только и всего.

Vovochka · Сообщение **Vovochka** » 15.06.2005 16:20

Mr. Anderson писал(а):А зачем, если проще не юзать ИЕ?
Хотя разумнее прописать более "глубокую" проверку закачиваемого... только и всего.

Вот, именно эту "глубокую" проверку я и "запрашиваю".

Я просто предложил временную затычку. Но для изменения аватар либо что-то дописывать, либо базу ручками править и файлики качать.

Romiyo · Сообщение **Romiyo** » 15.06.2005 16:23

Vovochka то есть вы хотите сказать, что с помощью закачки аватарок с компа на сервак можно такую же мулю сотворить с кукисами?

Vovochka · Сообщение **Vovochka** » 15.06.2005 16:56

Romiyo,
Я просто могу получить cookies.
Как мне уже разъяснили, многое я не сделаю...

Но я не понял вопрос.

Куки phpBB хороши тем, что в них, как я понял (если правильно), хэш пароля и сам пароль не хранится. Правда, с флажком "запомнить меня", я не баловался.

Добавлено спустя 3 минуты 11 секунд:

Да и вообще, любой JS код выполнить могу (если человек по ссылке пойдет)...

Romiyo · Сообщение **Romiyo** » 15.06.2005 17:01

Romiyo писал(а):то есть вы хотите сказать, что с помощью закачки аватарок с компа на сервак можно такую же мулю сотворить с кукисами?

Vovochka · Сообщение **Vovochka** » 16.06.2005 7:50

Romiyo,

Vovochka писал(а):Я смог закачать gif файл с содержанием:
<script>alert(document.cookie);</script>
А затем выполнил.

Vovochka писал(а):Резутьтат [удалено]

Всем:
Кто знает, как

Mr. Anderson писал(а):прописать более "глубокую" проверку закачиваемого... только и всего.

Гога · Сообщение **Гога** » 23.06.2005 0:38

Vovochka писал(а):Я смог закачать gif файл с содержанием:
<script>alert(document.cookie);</script>

Это возможно только с GIF?

Vladson · Сообщение **Vladson** » 23.06.2005 0:45

Vovochka
Гога
http://phpbbguru.net/community/viewtopi ... 1250#31250

Vovochka · Сообщение **Vovochka** » 23.06.2005 13:30

Спасибо.
Я уже все исправил.