Вот сделаю анонс последней версии своего Security Pack.

---==== MustLive is your security choice ====---

MustLive Security Pack v.1.0.1
Copyright © MustLive 2005
Last updated: 19.03.2005
http://mlfun.org.ua

В Security Pack входит:

1) Защита от Спамботов

2) Защита от взлома: phpBB security fix #1

Сам пакет прилагается в архиве.

Данный форум на тему секюрити.

Зарегистрированным пользователям предоставляется возможность скачать Security Pack.

Форум преследует следующие цели:

• Публикация информации о моих наработках в сфере секюрити.
• Предоставление некоторых моих наработок (не всех - лишь "публичных", избранным конечно же больше достанется) для зарегистрированных пользователей.
• Привлечение дополнительных посетителей на наши сайты и форумы - в частности тех кому интересна возможность пропатчить свой форум .

Иногда серфенгуя по нету заходишь на какой-нибудь интересный сайт, а у них конечно же есть и форум. И конечно же на пхпББ. И конечно же не пропачтенный . Хакать его только вдоль и впоперёк.

И мне становится жаль данный форум. И я там опубликую информацию, что мол ребята зайдите на флешзон форум и гляньте на секюрити пак - должен пригодится. Если не хотите чтобы ваш форум пустили под ноль. А форум интересный.

Но пак доступен лишь зарегистрированны пользователям - так что милости просим. Гляньте на форум, должен понравится .

Вот таким вот образом буду привлекать дополнительных посетителей форума. Главное что ссылку дам - хоть немного, но должны же люди заинтерисоваться. Часть из них зарегистрируется даже, ведь есть стимул - мой Секюрити Пак.

Посмотрим какой эффект это принесёт. Но дополнительная реклама не помешает (да и ведь о благородных целях речь идёт). Да и по нету я то специально лазить не буду, выискивая кому бы это помочь. Кому нужно сам меня найдёт .

Анонс последней версии Security Pack.

---==== MustLive is your security choice ====---

MustLive Security Pack v.1.0.2
Copyright © MustLive 2005-2006
Last updated: 04.03.2006
http://mlfun.org.ua

В Security Pack входит:

1) Защита от Спамботов

2) Защита от взлома: phpBB security fix #1

3) Защита от взлома: IPB security fix #1

Сам пакет прилагается в архиве.

Детальное описание Security Pack'а из readme.txt

В Security Pack входит:

1) Защита от Спамботов

Visual Confirmation System
© 2001 The phpBB Group

В phpBB-2.0.13 она уже внедрена. Но только для английского. Для других языковых модулей, которые можно скачать с сайта пхпББ уже несколько версий подряд перевода нету, хотя поддержка есть в системе (выключена по умолчанию).

Поэтому я предлагаю свой пакет с файлами на русском, где всё уже пофиксено. В него входят также файлы с поддержкой Visual Confirmation для английского и украинского языковых модулей. Также в пакет входят файлы последней версии phpBB в которых вызывается функция Visual Confirmation.

Данный Пак предназначен для phpBB-2.0.13. Если нужно её добавить в старую версию, то прийдётся разрабатывать свою "обновлялку". Дабы не делать это для каждой старой версии я расскажу в каких файлах и какие строки нужно добавить. В случае старой версии вам прийдётся все изменения делать вручную.

Описание установки: visual_confirmation.txt.

Описание мода (официальное описание phpBB): visual_confirmation_description.txt

2) Защита от взлома: phpBB security fix #1

В phpBB-2.0.13 эта уязвимость уже устранена. Для всех предыдущих версий нужно провести ручной патчинг.

Описание установки: phpBB_security_fix1.txt

3) Защита от взлома: IPB security fix #1

Межсайтовый скриптинг в Invision Power Board. Подвержены версии 2.1.4, а также 2.1.3 и более ранние. Необходим патчинг.

Описание установки: IPB_security_fix1.txt

Анонс последней версии Security Pack.

---==== MustLive is your security choice ====---

MustLive Security Pack v.1.0.3
Copyright © MustLive 2005-2006
Last updated: 02.04.2006
http://mlfun.org.ua

В Security Pack входит:

1) Защита от Спамботов

2) Защита от взлома: phpBB security fix #1

3) Защита от взлома: IPB security fix #1

4) Защита от взлома: IPB security fix #2

Сам пакет прилагается в архиве.

Описание новинок пакета

4) Защита от взлома: IPB security fix #2

SQL-injection в Invision Power Board. Подвержены версии 1.3 и 1.3.1 (и более ранние). Уязвимость позволяет получить управление аккаунтом любого пользователя (в том числе администратора). Необходим патчинг.

Описание установки: IPB_security_fix2.txt

Дополнительная информация касательно моего Security Pack будет публиковаться на моём секюрити проекте в отдельном разделе.

Websecurity - Веб безпека - это мой новый веб проект.

Анонс последней версии Security Pack.

---==== MustLive is your security choice ====---

MustLive Security Pack v.1.0.4
Copyright © MustLive 2005-2006
Last updated: 17.09.2006
http://mlfun.org.ua
http://websecurity.com.ua

В Security Pack входит:

1) Защита от Спамботов

2) Защита от взлома: phpBB security fix #1

3) Защита от взлома: IPB security fix #1

4) Защита от взлома: IPB security fix #2

5) Защита от взлома: WordPress security fix #1

Сам пакет прилагается в архиве.

Описание новинок пакета

5) Защита от взлома: WordPress security fix #1

Cross-Site Scripting уязвимость в Subscribe To Comments 2.0.4 WordPress plugin. Необходим патчинг.

Описание установки: WordPress_security_fix1.txt

Great job MustLive.
Can you please make your Pack with English Form? I mean just translate it. thanks you in advance.

Анонс последней версии Security Pack.

---==== MustLive is your security choice ====---

MustLive Security Pack v.1.0.5
Copyright © MustLive 2005-2007
Last updated: 05.08.2007
http://mlfun.org.ua
http://websecurity.com.ua

В Security Pack входит:

1) Защита от Спамботов

2) Защита от взлома: phpBB security fix #1

3) Защита от взлома: IPB security fix #1

4) Защита от взлома: IPB security fix #2

5) Защита от взлома: WordPress security fix #1

6) Защита от взлома: WordPress security fix #2

Сам пакет прилагается в архиве.

Описание новинок пакета

6) Защита от взлома: WordPress security fix #2

Редиректоры в WordPress. Необходим патчинг.

Описание установки: WordPress_security_fix2.txt

А как пользоваться этим богатством? Я надеюсь в архиве есть как это все установить на форум . Спрашиваю потому что мало в этом понимаю, а защитить форум хочется.

В архиве даются детальные описания исправлений указанных уязвимостей. Так что с установкой исправлений ты разберёшься.


Защищать свой форум (и сайт в целом) нужно. Учитывая, что у тебя форум на Invision Power Board, то среди всех патчей в моём Секюрити Паке к тебе относятся 2 патча:

3) Защита от взлома: IPB security fix #1
4) Защита от взлома: IPB security fix #2

Только обрати внимание, что IPB security fix #1 исправляет уязвимость в Invision Power Board <= 2.1.4, а IPB security fix #2 - в IPB <= 1.3.x. А так как ты используешь IPB 2.1.7, то данные уязвимости уже исправлены в твоей версии.

Зато в ней имеются новые уязвимости, о которых я писал у себя на сайте:

Обхід обмежень безпеки в Invision Power Board
http://websecurity.com.ua/158/
Безпека IPB
http://websecurity.com.ua/374/
Безпека IPB 2
http://websecurity.com.ua/587/
Безпека IPB 3
http://websecurity.com.ua/1141/

Так что тебе нужно будет заняться безопасностью своего форума. Или самому исправить все указанные дыры в твоёй версии IPB, или обновить его до более новой версии.

Видать не судьба. Все ссылки ведут на сайт производителя, а там все на английском , никак не могу там сориентироваться что где у них там лежит и где то что мне надо.

CheatAh

Thanks. I hope my Security Pack will be useful for you.


Now my Security Pack is on Russian, so you can translate descriptions of patches (via translator). Brief descriptions of every version is available on Ukrainian (at my site) and on Russian (at forum).

I'm not planning to make English version. Because of lack of time. So detailed descriptions will be on Russian only. Man, I have no time to update Pack routinely (new releases came occasionally), not to mention translating of Security Pack.

Тарас

Официальный сайт разработчика IPB может помочь тебе лишь в том случае, если ты зарегистрированный пользователь.

Начав использовать Invision Power Board ты вероянтно не обратил внимание на одну важную деталь (и не обратил на неё внимание, когда заходил на официальный сайт, чтобы скачать новую версию). Что IPB - это коммерческий продукт. Поэтому получение новых версий и исправлений (багов и уязвимостей) для текущих версий доступно лишь для зарегистрированных пользователей. Причём форма оплаты у них не единоразовая, а в виде подписки - нужно платить ежегодно за использования данного движка.

Ты же, как я полагаю, заюзал незарегистрированную версию - пиратку (так званую нулёную версию). В данном случае с официального сайта ты ничего полезного скачать не сможешь и поддержки они не окажут. При использовании нелегальных версий ты можешь надеяться лишь на собственные силы - или фиксить баги и дыры самому, или не фиксить (если не умеешь) и мучиться с ними, а при наличии секюрити дыр, также нести риски возможных атак на форум.

Поэтому в твоём случае могу порекомендовать следующие варианты улучшения безопасности форума: или исправить указанные дыры самому, или найти себе и поставить пиратскую версию IPB, более новую и безопасною чем твоя текущая версия (или приобрести новую лицензионную версию, смотря что тебе ближе).

Да, ты прав, версия обнуленная. Сам конечно исправить php я не смогу, поэтому придется подумать о лицензии.

Или лицензионную новую версию поставь, или найди себе нулённую версию 2.2.х или 2.3.х и обнови движок (исходя из того, какой вариант тебе удобней).

Главное, Тарас, нужно следить за безопасностью тех веб приложений, которые используешь у себя на сайте (в том числе форумного движка) - в частности админам нужно следить за новостями об уязвимостях в данных приложениях (публикуемых на секюрити ресурсах). Касательно IPB, то я регулярно публикую информацию о дырах в данном движке, как я уже говорил ранее, т.к. сам использую IPB, поэтому слежу за дырами в нём. Так что следи за новостями у меня на сайте , чтобы знать о новых уязвимостях в используемых тобою веб приложениях.

Ну вот , теперь когда написано на понятном мне языке, я все понял. Спасибо за науку. Я воопще то часто и надолго зависаю на этом форуме, так что следить за уязвимостями буду постоянно.

Как я написал у себя на сайте http://websecurity.com.ua/1893/, в декабре я обнаружил Cross-Site Scripting (persistent XSS) уязвимость в Invision Power Board.

Уязвимы версии 1.x и 2.x (тестировалось на Invision Power Board v1.3, 2.1.5 и 2.2.2).

Из-за отсутствия защиты от исполнения JavaScript кода из flash, при включенной поддержке флеша в сообщениях, атакующий может внедрить ссылку на специальный флеш-файл в тело сообщения и атаковать всех участников форума, которые просмотрят тему с данным сообщением. Атака может быть проведена через публикацию флешки в сообщении на форуме, или установки её в качестве аватора.

Патчи для исправления данных уязвимостей доступны в новой версии моего Security Pack.

Анонс последней версии Security Pack.

---==== MustLive is your security choice ====---

MustLive Security Pack v.1.0.6
Copyright © MustLive 2005-2008
Last updated: 04.03.2008
http://mlfun.org.ua
http://websecurity.com.ua

В Security Pack входит:

1) Защита от Спамботов

2) Защита от взлома: phpBB security fix #1

3) Защита от взлома: IPB security fix #1

4) Защита от взлома: IPB security fix #2

5) Защита от взлома: WordPress security fix #1

6) Защита от взлома: WordPress security fix #2

7) Защита от взлома: IPB security fix #3

Сам пакет прилагается в архиве.

Описание новинок пакета.

7) Защита от взлома: IPB security fix #3

Cross-Site Scripting в Invision Power Board. Подвержены версии 1.x и 2.x (тестировалось на Invision Power Board v1.3, 2.1.5 и 2.2.2). Необходим патчинг.

Описание установки: IPB_security_fix3.txt.

Тарас, всегда пожалуйста.


На форуме я редко пишу на тему безопасности и об уязвимостях особо не пишу, только о тех редких уязвимостях для которых я выпускаю патчи в своём Security Pack. А также периодически напоминаю нашим участникам, что у них на сайтах имеются уязвимости и им нужно следить за безопасностью своих сайтов.

На тему безопасности и о последних уязвимостях в веб приложениях я пишу на своём сайте Websecurity - Веб безпека. Поэтому, чтобы следить за уязвимостями в тех движках, которые ты используешь, нужно следить за новостями на моём сайте . Причём в смысл моих рекомендаций следить за безопасностью я вкладываю также и то, что уязвимости нужно исправлять. Поэтому помимо отслеживания уязвимостей, также всегда их исправляй (не нужно допускать, чтобы на сайте годами висели дыры, как это сейчас у тебя есть - это распространённая ситуация в Сети и её нужно менять, поэтому все найденные уязвимости обязательно нужно исправлять).

Анонс последней версии Security Pack.

---==== MustLive is your security choice ====---

MustLive Security Pack v.1.0.7
Copyright © MustLive 2005-2008
Last updated: 09.10.2008
http://mlfun.org.ua
http://websecurity.com.ua

В Security Pack входит:

1) Защита от Спамботов

2) Защита от взлома: phpBB security fix #1

3) Защита от взлома: IPB security fix #1

4) Защита от взлома: IPB security fix #2

5) Защита от взлома: WordPress security fix #1

6) Защита от взлома: WordPress security fix #2

7) Защита от взлома: IPB security fix #3

8) Защита от взлома: IPB security fix #4

Сам пакет прилагается в архиве.

Описание новинок пакета.

8) Защита от взлома: IPB security fix #4

Insufficient Anti-automation в Invision Power Board (Captcha bypass). Подвержены версии 2.2.x и 2.3.x. Необходим патчинг.

Описание установки: IPB_security_fix4.txt.

Предоставлены патчи для версий IPB 2.2.x и 2.3.x.

Анонс последней версии Security Pack.

---==== MustLive is your security choice ====---

MustLive Security Pack v.1.0.8
Copyright © MustLive 2005-2009
Last updated: 16.12.2009
http://mlfun.org.ua
http://websecurity.com.ua

В Security Pack входит:

1) Защита от Спамботов

2) Защита от взлома: phpBB security fix #1

3) Защита от взлома: IPB security fix #1

4) Защита от взлома: IPB security fix #2

5) Защита от взлома: WordPress security fix #1

6) Защита от взлома: WordPress security fix #2

7) Защита от взлома: IPB security fix #3

8) Защита от взлома: IPB security fix #4

9) Защита от взлома: IPB security fix #5

Сам пакет прилагается в архиве.

Описание новинок пакета.

9) Защита от взлома: IPB security fix #5

Cross-Site Scripting уязвимости в Invision Power Board. Подвержены версии 1.x, 2.x и 3.0.x (до 3.0.5). Необходим патчинг.

Описание установки: IPB_security_fix5.txt.

О найденных мною Cross-Site Scripting уязвимостях в Invision Power Board я писал у себя на сайте.