Pełna wersja: Unofficial modifications
nieoficjalne modyfikacje for?w phpBB by Przemo
 
lo - fi version Unofficial modifications index

Mass Passwords Changer (MPC) [niebezpieczna]
Kliknij tutaj aby przejśc do pełnej wersji tematu

 
       Unofficial modifications Strona Główna -> Modyfikacje mniejsze
Poprzedni temat :: Następny temat  
m1chu Wysłany: Czw 20 Lip, 2006  

Mass Passwords Changer (MPC) ver. 1.7 Final created by m1chu

MODYFIKACJA JEST NIEBEZPIECZNA
PO U?YCIU MODYFIKACJI PLIKI NALE?Y SKASOWA?!
modyfikacja wra?liwa na sql injection


Informacje:
Do napisania tej modyfikacji zach?ci? mnie unster w tym topicu. Modyfikacja zmienia masowo has?a u?ytkownik?w danego forum i wysy?a do nich maila. A dok?adniej co w niej jest:
- mo?liwo?? konfiguracji nazwy forum, nazwy administratora, adresu e-mail forum (kt?re to zostan? wys?ane do u?ytkownika) - mo?liwo?? wyboru uniwersalnej d?ugo?ci zmienianych hase? - mo?liwo?? wyboru od kt?rego u?ytkownika i do kt?rego u?ytkownika zmienia? has?a (po id u?ytkownik?w). Je?li opcje pozostan? puste, wszystkim u?ytkownikom zostan? zmienione has?a. Moim zdaniem wa?na opcja dla du?ych for?w. - teoretyczna mo?liwo?? zmiany znak?w z kt?rych b?d? sk?ada? si? has?a. Osobi?cie nie zalecam zmienia? funkcji uj?tej w modyfikacji je?li nie jeste? w stu procentach pewien co robisz. - zabezpieczniem przed brakiem nazwy forum, nazwy admina, adresu e-mail, warto?ci zmienianych id, zmian? rekordu u?ytkownika Anonymous i funkcji mail na serwerze. - wysy?anie maila do u?ytkownik?w z wiadomo?ci?: KodWitaj, ' . $nazwa_u?ytkownika . ' - Wysylamy Ci tego maila, poniewaz nastapila masowa zmiana hasel na naszym forum. Twoje nowe haslo to: "' . $nowe_has?o . '" Za utrudnienia przepraszamy, administracja - wy?wietlanie aktualnego dzia?ania na ekranie
Mod dzia?a ca?kiem zgrabnie i po moich testach, wydaje mi si?, ?e dobrze. Ale testujcie i je?li b?dzie co? nie tak - piszcie. Nie testowa?em na du?ych bazach, dlatego mo?e si? wykrzacza? (ale po to jest opcja min_id i max_id, ?eby zmienia? partiami). Jest jeszcze jeden warunek - funkcja mail musi by? on na serwerze bo inaczej modyfikacja od razu zostanie wstrzymana, bo po co zmienia? has?o je?li u?ytkownik i tak nie dowie si? na jakie zosta?o zmienione.

Zmiany:
1.1:
- dodanie (pseudo) zabezpieczenia w postaci blokady modyfikacji (nadal zaleca si? dla pewno?ci wyrzucanie pliku modyfikacji z serwera po wykonaniu zmian!)

1.2:
- zmiana mail(), na smtp (dodanie klasy odpowiadaj?cej za to) - przerobienie skryptu na potrzebe smtp...

1.3:
- dodanie ponownie funkcji mail() i konfiguracji w pliku, czy modyfikacja ma korzysta? z wbudowanego mail'a(), czy smtp'a() - sprawdzanie, czy mail (nadawca) ma poprawn? sk?adnie

1.5 Final:
- przebudowanie modyfikacji, konfiguracja z poziomu przegl?darki - sprawdzanie hostu i portu - ?adowanie nicku administratora z bazy - dodanie opcji modyfikacji hase? danej grupie (na ?yczenie qbs'a) - poprawienie zauwa?onych b??d?w

1.6 Final:
- zwalidowane przez validator.w3.org - poprawienie b??d?w w kodzie

1.7 Final:
- usuwanie znak?w \ (sql injection) w zmiennych i deklarowanie zmiennych ca?kowitych (sql injection) - zmiana zabezpieczenia uruchamiania skryptu dla danych adres?w ip (enabled -> adres_ip; disabled -> 127.0.0.1)

[b0]Demo:[/b0]
http://vlo.gotdns.org/~dmx/temporary/mpc.php
Uwaga! Opcja mail'owania w demonstracyjnego wersji jest wy??czona. Z prostej przyczyny, nie dzia?a na tamtym serwerze. A chcia?em pokaza? jak to wygl?da...

[b1]Uwagi:[/b1]
Dyskutowa? prosz? w tym temacie.
[b2]Po za tym po zako?czeniu dzia?ania modyfikacji zalecam wyrzucenie pliku z serwera ;][/b2]
[b3]Z pozdrowieniami, m1chu[/b3]

PS: [b4]jest to wersja finalna, ?adnych zmian nie b?dzie ju?, bo s? niepotrzebne. Mia? to by? prosty modzik zmieniaj?cy masowo has?a - jak wida? na ?yczenia, troszk? si? zwi?kszy?. Ewentualne zmiany - to poprawki zauwa?onych b??d?w (mod by? testowany, ale zawsze co? nowego a nu? mo?e si? znale??). O zauwa?onych b??dach prosz? pisa? tutaj.[/b4]

PS2: [b5]zaleca si? aktualizacj? do najnowszej wersji z kwestii bezpiecze?stwa. Poprzednie wersje dzia?aj? prawid?owo, ale nie stosowanie si? do zalecenia usuni?cia pliku po u?yciu modyfikacji mo?e by? przyczyn? usuni?cia lub nadpisania bazy przez niepowo?ane osoby![/b5]

Tutaj znajduje si? instrukcja instalacji modyfikacji
Has?o: [b6]m1chu.easyisp.pl/forum[/b6]
Beg For Mercy Wysłany: Czw 03 Sie, 2006  

dzieki sparwdze se tego moda :)
unster Wysłany: Czw 03 Sie, 2006  

W paczce brakuje pliku mpc_ng.php o ktory upomina sie skrypt.

Jesli ktos ma ten plik prosze o przeslanie go na maila: fuzzy@qzone.pl z gory thx
m1chu Wysłany: Nie 06 Sie, 2006  

qbs napisał/aMODYFIKACJA JEST NIEBEZPIECZNA
PO U?YCIU MODYFIKACJI PLIKI NALE?Y SKASOWA?!
modyfikacja wra?liwa na sql injection
Que Passa? Napisa?em, ?e zaleca si? wyrzuci? plik po u?yciu modyfikacji. Btw qbs mo?e napiszesz co? wi?cej, je?li nie chcesz tutaj - prosz? na PW :D O ile nie sprawi Ci to problemu :]
qbs Wysłany: Nie 06 Sie, 2006  

http://jacekk.info/?id=articles&s=see&n=3
m1chu Wysłany: Nie 06 Sie, 2006  

Ok nie wiedzia?em, ?e sprawi to taki problem. Dlatego zaznaczy?em, ?e plik nale?y wyrzuci? z serwera po u?yciu moda. Ale ?eby nie by?o nast?pi?y drobne zmiany, mam nadzieje, ?e teraz b?dzie bezpieczniejszy. Prosi?bym jednak o przetestowanie, pod tym adresem. Has?o: m1chu.easyisp.pl/forum. Wszelkie uwagi prosz? pisa? tutaj. Szczeg?lnie o sprawdzenie prosz? qbs'a bo to on jakoby si? do tego przyczyni?. Z g?ry dzi?ki.
Arek Wysłany: Sob 30 Wrz, 2006  

Link ju? nie dzia?a :/
 
       Unofficial modifications Strona Główna -> Modyfikacje mniejsze
Strona 1 z 1
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.