Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Уязвимость Photo Album Addon
-
- phpBB 1.2.0
- Сообщения: 11
- Стаж: 18 лет 11 месяцев
Уязвимость Photo Album Addon
Ребята! Подскажите, я просто в шоке! У меня стоит Photo Album Smartor, но добавление пользователем фото я отключил, в целях безопасности. У меня установлено, добавлять фото только админ. Народ присылает фото мне на мыло, а я размещаю их в категориях под их именами регистрируя их на свой е-маил. Потом пользователя удаляю из форума, и в категории фотоальбома остается только имя. Если пользователь, автор фотографии, захочет, он может написать только комментарий, или, зарегистрировавшись на форуме обсудить, но не более. И вот, один перец прислал мне фотографии, я залил их в соответствующую категорию фотоальбома, под его именем, далее удалил пользователя. Осталось только его имя. Всё вроде нормально. Но сегодня с утра он зарегистрировался на форуме и поменял имя в фотоальбоме. Получается, что есть уязвимость? Он ничего плохого не сделал. Но ведь это может сделать любой? Как защитить? Я как админ не могу поменять имя пользователя, а он смог! Что делать? Я в шоке!
-
- Поддержка
- Сообщения: 5284
- Стаж: 19 лет 3 месяца
- Откуда: Питер
- Благодарил (а): 186 раз
- Поблагодарили: 793 раза
Kgb
Товарищ, вы извращенец
Зачем так делать?
Зачем кого-то регистрировать и удалять?
Естественно можно зарегаться под удалённым ником и отредактировать информацию о фото, если в правах доступа к этой категории в фотогаллерее установлены права на редактирование для зарегистрированных пользователей
Надеюсь намёк понятен?
Измените это право на админа и все остальные тоже (кроме просмотра, комментирования и рейтинга) и живите спокойно.
OFF:
но вы всё-таки изврат
Товарищ, вы извращенец
Зачем так делать?
Зачем кого-то регистрировать и удалять?
Естественно можно зарегаться под удалённым ником и отредактировать информацию о фото, если в правах доступа к этой категории в фотогаллерее установлены права на редактирование для зарегистрированных пользователей
Надеюсь намёк понятен?
Измените это право на админа и все остальные тоже (кроме просмотра, комментирования и рейтинга) и живите спокойно.
OFF:
но вы всё-таки изврат
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.2.0
- Сообщения: 11
- Стаж: 18 лет 11 месяцев
Чем же я извращенец?Siava писал(а):Kgb
Товарищ, вы извращенец
Зачем так делать?
Зачем кого-то регистрировать и удалять?
так я так и делаю!Естественно можно зарегаться под удалённым ником и отредактировать информацию о фото, если в правах доступа к этой категории в фотогаллерее установлены права на редактирование для зарегистрированных пользователей
Так у меня так и стоит!Измените это право на админа и все остальные тоже (кроме просмотра, комментирования и рейтинга) и живите спокойно.
-
- Former team member
- Сообщения: 4463
- Стаж: 19 лет 5 месяцев
- Поблагодарили: 1 раз
-
- phpBB 1.2.0
- Сообщения: 11
- Стаж: 18 лет 11 месяцев
VVVas
Может я не понятно написал? У меня стоит Photo Album с правами добавления фото только админом! Когда мне надо разместить в альбоме фото другого автора(я же не могу размещать под своим именем т.к. я не автор, я админ). Я регистрируюсь под именем автора, так как в альбоме стоит именно ссылка на автора. После размещения я возвращая права на добавления фото, только админу, естественно кроме просмотра и комментариев(комментарии делает автор если посчитает нужным, что часто бывает не всегда). Далее я удаляю пользователя, чтобы не было ссылки на автора, а было только имя, без ссылки. А если стоит ссылка на автора, он, автор думает, что я зарегистрировал его на форуме, и ломится на форум спрашивая у меня пароль. Я также как всегда сделал, но сегодня зарегистрировался на форуме автор и поменял себе имя под которым у него висят фотографии(а может это и не он), в Photo Albumе. Вопрос как он мог это сделать, когда в Альбоме стоят права на создание категорий только у админа? И добавление фотографий тоже у админа. Он может только посмотреть, оценить и оставить коментарий - всё.VVVas писал(а):вообще как минимум внимательно прочтите то что вам написали.
-
- phpBB 1.2.0
- Сообщения: 11
- Стаж: 18 лет 11 месяцев
-
- Поддержка
- Сообщения: 5284
- Стаж: 19 лет 3 месяца
- Откуда: Питер
- Благодарил (а): 186 раз
- Поблагодарили: 793 раза
Kgb
Так он сменил свой ник? Запретите смену ников пользователям.
Можете сделать 2 скрина страниц с правами доступа для этой категории? (первый при нажатии на "изменить" в управлении категориями, второй в правах доступа к категориям).
Честно говоря я перестал понимать что тут происходит
Так он сменил свой ник? Запретите смену ников пользователям.
Можете сделать 2 скрина страниц с правами доступа для этой категории? (первый при нажатии на "изменить" в управлении категориями, второй в правах доступа к категориям).
Честно говоря я перестал понимать что тут происходит
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.2.0
- Сообщения: 11
- Стаж: 18 лет 11 месяцев
-
- Поддержка
- Сообщения: 5284
- Стаж: 19 лет 3 месяца
- Откуда: Питер
- Благодарил (а): 186 раз
- Поблагодарили: 793 раза
Kgb
Siava писал(а):Можете сделать 2 скрина страниц с правами доступа для этой категории? (первый при нажатии на "изменить" в управлении категориями, второй в правах доступа к категориям).
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.2.0
- Сообщения: 11
- Стаж: 18 лет 11 месяцев
Это не помогло.Siava писал(а):Можете сделать 2 скрина страниц с правами доступа для этой категории? (первый при нажатии на "изменить" в управлении категориями, второй в правах доступа к категориям).
Да я посмотрел в БД Альбома имя осталось прежним, а вот в категории поменяно.
Последний раз редактировалось Kgb 05.05.2005 17:55, всего редактировалось 1 раз.
-
- Поддержка
- Сообщения: 5284
- Стаж: 19 лет 3 месяца
- Откуда: Питер
- Благодарил (а): 186 раз
- Поблагодарили: 793 раза
Kgb
ну тут я пас..
Может у кого ещё есть идеи?
ну тут я пас..
Может у кого ещё есть идеи?
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.2.0
- Сообщения: 11
- Стаж: 18 лет 11 месяцев
-
- phpBB 2.0.4
- Сообщения: 404
- Стаж: 19 лет 6 месяцев
- Откуда: оттуда
Отчего же? Я, кажется, догадываюсь в чём дело. С вероятностью 99% процентов. Никакой особой уязвимости, маленький глючок в admin_users.php.Kgb писал(а):Так получается мне никто не подскажит?
А теперь внимание, вопрос:
Какое ID нового пользователя и что у Вас записано в строке phpbb_album там где pic_username равно "старое имя" в графе pic_user_id?
Совпадает?
-
- phpBB 1.2.0
- Сообщения: 11
- Стаж: 18 лет 11 месяцев