Jedan vbulletin. Što je forum bolji od vbulletin ili punbb. Tema: Što je forum bolji vbulletin ili punbb

Vjerojatno ste više puta vidjeli forume na motoru vbulletin. Forumi kao takve više nisu na vrhuncu mode, ali vBulletin je još jedan od najpopularnijih motora. U posljednjem (petom), verzija je pronašla nekoliko ranjivosti koje mogu pokvariti život administratora. U ovom članku, reći ću vam kako se iskorištavaju.

Prvi problem je pogrešan filtriranje korisničkih podataka. Prijavila je neovisni sigurnosni istraživač koji je želio ostati anonimni. Ranjivost, iako ima neka ograničenja, dobila je kritički status, jer vam omogućuje da pročitate bilo koju datoteku i izvršite proizvoljni kod na ciljnom sustavu.

Druga ranjivost pronašli su istraživači iz napora i primili identifikator CVE-2017-17672. Ona je povezana s značajkama deserijalizacije podataka u motoru i mogu se koristiti napadači kako bi se uklonili proizvoljne datoteke u sustavu.

Puna izvješća s detaljima oba problema objavljena su kao dio programa izvan sigurnosti iz sekuritiama. Tu je i POC-a potkopanosti pokazati ranjivosti. Idemo u to u redu.

Kuhanje

Koristio sam komplet za distribuciju vlakana kao poslužitelja.

Pročitajte datoteke, izvodite naredbe

Dakle, uzrok prve ranjivosti je netočna logika pri obradi parametra za usmjeravanje, koji omogućuje napadaču da se doda putem bilo koje datoteke na disku i izvedite PHP kod koji se nalazi u njemu.

Naš put počinje s najvažnijim datotekom - index.php, gdje se javlja inicijalizacija aplikacije.

/Index.php.

48: $ app \u003d vb5_frontend_Application :: init ("config.php"); ... 60: $ Ruting \u003d $ App-\u003e GetRouter (); 61: $ metoda \u003d $ usmjeravanje-\u003e Getakcija (); 62: $ template \u003d $ usmjeravanje-\u003e gettemplate (); 63: $ klasa \u003d $ usmjeravanje-\u003e getControllerclass ();

Pogledajmo na vb5_frontend_application :: init metoda.

/ includes/vb5/frontend/application.php.

13: Klasa VB5_Frontend_ApplicationAcTact 14: (15: javna statička funkcija init ($ confilfile) 16: (17: roditelj :: init ($ configfile); 18: 19: Jastvo :: $: $ \u003d novi vb5_frontend_Application (); : $ instance-\u003e usmjerivač \u003d novi vb5_frontend_routing (); 21: Jastvo :: $ instance-\u003e Router-\u003e Setrutes ();

Ovdje smo zainteresirani za metodu setRouties.

47: Javna funkcija Setrutes () 48: (49: $ This-\u003e ObradaCrystring (); ... 54: Ako (Ispravnica ($ _ Get ["Routering"]) 55: (56: $ Path \u003d $ _get [ "Usmjeravanje"];

Varijabla $ Put dobiva vrijednost userdata s parametra usmjerivanja. Možete proći put do stranice foruma i bit će učitano.

Pretpostavimo da smo prošli / testirali.

Nakon što je varijabla dodijeljena komad koda, koji se uklanja u moždani udar na početku linije ako je prisutan.

/ includes/vb5/frontend/routing.php.

75: Ako (ullen ($ Put) i $ Put (0) \u003d\u003d "/") 76: (77: $ Path \u003d Substr ($ PATH, 1); // $ Put \u003d "Test" 78 :)

uključuje vb5 frond ruting.php

83: Ako (Put ullen ($ Put)\u003e 2) 84: (85: $ ext \u003d strtolorac (Substr ($ Put, -4)); 86: Ako ((($ ext \u003d\u003d ".gif") ili ($ Ext \u003d\u003d ".png") ili ($ ext \u003d\u003d ".jpg") ili ($ ext \u003d\u003d ".css") 87: ili (Strtolower (Strstr (Strstr ($ Put, -3)) \u003d\u003d ".js ") 88: (89: Zaglavlje (" http / 1,0 404 nije pronađen "); 90: umrijeti (" "); 91 :) 92 :)

Kao što možete vidjeti, ček je prilično čudan. Na minimalnoj sramoti, prisutnost popisa zabranjenih proširenja se potiče izravno u popis popisa. I općenito, sama činjenica da se produžetak dobiva izrezivanjem četiri znaka s kraja linije (linija 85), uzrokuje zbunjenost. Općenito, ako pokušavamo dobiti datoteku s GIF, PNG, JSP, CSS ili JS proširenja, poslužitelj će vratiti stranicu 404 i izvršiti skriptu. Kada se prođu svi čekovi, s Callapi metodom getroute se zove od vb_api_route klase. Traži odgovarajuće rute na temelju korisničkih prenosivih informacija.

Nastavak je dostupna samo sudionicima

Opcija 1. Pridružite se web-lokaciji da pročitate sve materijale na web-lokaciji

Članstvo u zajednici tijekom određenog razdoblja otvorit će vam pristup svim materijalima hakera, povećat će vaš osobni akumulativni popust i akumulirati profesionalni Xakep ocjena!

• Iz:
• Registrirani: 2014.07.07
• Postovi: 3,825
• Volim punbb:
• 5 godine 8 Mjeseci, 20 Dana,
• Voli: 480

Tema: Što je forum bolji vbulletin ili punbb

VBulletin (Vobla ili Bulka, kao što ga voli nazvati) - jedan od najstarijih komercijalnih forumskih motora napisanih s PHP i MySQL tehnologijama. Počevši od objavljivanja prve verzije 2000. godine, učinio je ogroman rad kako bi se poboljšala funkcionalnost, što je omogućilo vb da uđe u popis najboljih softverskih proizvoda.

Vulletin licenca će vas koštati oko 250 dolara. Nemojte sumnjati, to je potpuno opravdana potrošnja i točno isplatiti uštede radnog vremena i živčanih stanica. Većina tih novca ide u programere i programere koji će ih dodatno isprazniti na poboljšanju funkcionalnosti i oslobađanje zakrpa i dodataka (da, tijekom godine, sva ažuriranja bit će vam dostupna besplatno).

2 Odgovorite. Punbb.

• Iz: Moskva, sovkhoznay 3, apt. 98.
• Registrirani: 2014.07.07
• Postovi: 3,825
• Volim punbb:
• 5 godine 8 Mjeseci, 20 Dana,
• Voli: 480

Popis svih funkcija vBulletin nema smisla. Provedeno je gotovo sve što bi moglo trebati administratore foruma. Podcasting, multiktistička podrška, razdvajanje na društvene skupine i zajednicu, sustav ocjenjivanja (ugled). Osnovni kompletan set Možete dodati ekstenzije trećih strana.

VABULLETIN forum motor stvara ozbiljno opterećenje na poslužitelju, osobito ako su instalirani dodaci trećih strana i skripte. Da biste dodatno izbjegli probleme s preuzimanjem stranica, morat ćete vidjeti za normalno hosting. Pogotovo ako u budućnosti predvidite svoj resurs većim prisustvom.

3 Odgovorite. Punbb.

• Iz: Moskva, sovkhoznay 3, apt. 98.
• Registrirani: 2014.07.07
• Postovi: 3,825
• Volim punbb:
• 5 godine 8 Mjeseci, 20 Dana,
• Voli: 480

Re: Što je forum bolji vbulletin ili punbb

VBulletin, zbog izuzetne otpornosti na hakiranje i spam botam, preporučuje se za uporabu u velikim ozbiljnim projektima. Osim toga, standardne postavke i konfiguracijske datoteke mogu se jednostavno mijenjati na svoj način, što je postiglo još više učinak. Na internetu postoji mnogo uputa i vodiča iz folklornih obrtnika, istina se ne smije vjerovati.

Vbulletin, implementira velike ideje kao što je nemoguće. Stalna ažuriranja, visokokvalitetna usluga, dodatna proširenja i pouzdani sigurnosni mehanizmi - sve to u potpunosti opravdava proizvod potrošen na proizvodu.

4 Odgovorite. Punbb.

• Iz: Moskva, sovkhoznay 3, apt. 98.
• Registrirani: 2014.07.07
• Postovi: 3,825
• Volim punbb:
• 5 godine 8 Mjeseci, 20 Dana,
• Voli: 480

Re: Što je forum bolji vbulletin ili punbb

Svi popis funkcija nema smisla - u njoj (ili dodataka) je implementiran gotovo sve što administrator može biti potreban za stvaranje foruma. Tu su i višestruki i podrška za podcasting i korisničke zajednice i društvene skupine i fleksibilni sustav ugleda i još mnogo toga.

Naravno, vbulletin ima veliki broj Dodaci i korisničke zajednice, tako da neće biti problema s uslugama, osobito s činjenicom da postoji službena podrška. Nedostatak vBulletin, iako nije jako velik, je akumulacija dodataka, na primjer, za korisničke blogove.

Do i veliki, nema nedostataka foruma. Može se preporučiti za velike ozbiljne projekte upravo zbog pouzdanosti i održivosti svim vrstama napada. Kao rezultat toga, ona stvara značajno opterećenje na poslužitelju, posebno s dodatnim dodacima, ali ozbiljni poslužitelji i ozbiljni administratori obično koriste ozbiljne projekte.

Iznimno u informativne svrhe. Uprava nije odgovorna za njezin sadržaj. Besplatno preuzimanje .

vBulletin Connect v5.3.3 je snažan, skalabilan i potpuno prilagodljiv forum paket za vašu web-lokaciju.

Verzija: 5.3.3 (Nullad bybspport.org)

Minimalni zahtjevi PHP 5.6
Kompatibilnost s PHP 7.1
Za nova instalacija Trebate preimenovati htaccess.txt v.htaccess datoteku
Kada ažurirate, izbrišite mapu Fontove (prije početka ažuriranja).

Nove mogućnosti:
Novi UI s opsežnom društvenom integracijom;
Optimiziran za mobilne uređaje;
Pojednostavljena instalacija, kontrola i konfiguracija;
Nova arhitektura baze podataka za poboljšanje pretraživanja i bolje performanse;
Prikladna promjena dinamičkog sadržaja;
Proširena na razmjenu videozapisa i slika;
Puna integracija s VigLinkom;
Više od 100 drugih novih značajki i poboljšanja;

Ugrađene aplikacije:
Forum za raspravu
Grupa
Ankete
Blog

Optimizacija pretraživača:
SEO prijateljski url
Opis prilagođene ključne riječi / meta opis

Fleksibilnost:
Proširivi korisnički profili
Prepisivanje URL-a
Lokalizacija sučelja
Metapodačni

Sukladnost standarda:
Priključak na Sindikate sadržaja (RSS)
Udruga u Syndicates sadržaja: RSS, ATOM, XML
PHP v5.4 kompatibilan

Bez razbijanja integriranog sustava:
Jedini ulazni ulaz
Jedinstveni sustav dozvola
Upravljačka ploča s jednom administratorom
Stvorite kontinuirani stil / temu kroz članke, blogove, forum

Kontrolne ploče za svaku ulogu:
Upravljanje administratorom
Upravljačka ploča moderatora
Prilagođena upravljačka ploča
Sustav zajedničkog dopuštenja
Motor predloška snage za poboljšane postavke

Upravljanje korisnika:
Multiplayer sustav s neograničenim ulogama i moći
Omogućene skupine
Sigurnost
Granulirane moći
Obavijest o problemima
Kompatibilan SSL
CAPTCHA.
Potvrda e-pošte
Administrator uređivača vijesti na upravljačkoj ploči
System "Strike" Prijava u sustavu
Promjene e-pošte i zaporke zahtijevaju trenutnu lozinku
Djeca kompatibilna Zakon o zaštiti privatnosti na mreži (COPPA) 1998

1. Idite na upravljačku ploču za admin:
Jezici i izrazi - preuzmite / učitajte jezike.
2. U polje "Ili prenesite XML datoteku s računala" unesite put do
VBulletin-language_ru.xml datoteku na vašem računalu.
3. U parametru "Prebrisanja jezika" odaberite "Kreiraj novi jezik"
4. U "naslovu za učitani jezik" unesite naziv jezika.
U odsutnosti unesenih podataka, jezik će se nazvati "ruski (ru)"
5. Postavite "Da" u parametru "Ignore jezične verzije"
6. Postavite "Da" u "Pročitaj charset iz parametra XML datoteke"
7. Kliknite na gumb "Uvezi" i pričekajte postupak preuzimanja.
7a ako želite, možete napraviti novi jezik po jeziku "prema zadanim postavkama",
Klikom na gumb "zadana" / "zadana vrijednost".

Glavne prednosti:

• Brza i učinkovita baza u bazi podataka
• Sučelje koje se sastoji od predložaka
• Snažna tražilica
• Višejezična podrška
• Korisnički profili
• Snažna i praktična admin panel
• Neograničeni dijelovi / post / postovi
• Obavijesti e-pošte
• Podrška COPPA.

Zbog činjenice da demoni foruma, koji se može instalirati, proizvođač ne pruža, mora instalirati lijevu verziju, preuzetu iz nekog dvorana. Tako se uputa ne može u potpunosti uskladiti s procesom instaliranja licence. Nakon instalacije, web-lokacija je uklonjena, nije se koristila za njegovu namjenu.

Da biste instalirali vBulletin, idite na hosting upravljačku ploču (gumb s mjenjačama nasuprot narudžbi hostinga u naplati), u "upravitelju datoteka" idite na "WWW" direktorij. Kliknite gumb "Preuzimanje datoteku u trenutni direktorij":

Navedite put do datoteke na računalu:

Dodijelite arhivu s vBulletin, raspakirajte ga:

Mi izbrišemo nepotrebne datoteke i direktorije, uključujući imenik naše WWW domene - pod uvjetom da nema ništa potrebno. Ako stavite korijen web-lokacije, ili u katalog mjesta postoji nešto potrebno - za brisanje WWW-ovog imenika domene ne treba:

Mi naglašavamo direktorij s instalacijom VBulletin, preimenujte ga:

Unosimo ime naše web-lokacije, kao ime imenika:

Idite na odjeljak baze podataka, hosting kontrolni paneli:

Stvoriti nova baza mySQL podacii korisnik s punim pravima pristupa na njega:

Imajte na umu da je korisnik i baza automatski primio prefiks, nazvan vaš račun na poslužitelju hostinga:

Ići glavna stranica Naše stranice, dobivamo takvu pogrešku vBulletin:

Vozite put do instalatera u adresnoj traci, morate dodati "Install / Install.php", nakon čega pokreće instalacijski program VBulletin Forum:

VBulletin Installer provjerava datoteke:

Na sljedeća Shage Pokreće vezu s bazom podataka, ne prolazi - jer U konfiguracijskoj datoteci foruma, pokreće se netočni podaci:

Vratite se na upravljačku ploču hostinga, upravitelj datoteka, Idite u direktorij s forumom, a zatim poddireceptory "uključuju". Otvorite datoteku "Config.php":

Uvodimo prave podatke iz baze podataka u konfiguracijska datoteka., nakon čega je zatvoreno:

Vratite se na web-lokaciju, u instalaciju. Kliknite "F5", ovaj put je sve u redu, veza s bazom je narasla:

Instalacijski program VBulletin stvara tablice u bazi podataka:

Instalater VBulletin mijenja vrste nekih tablica:

Dodaju se podaci u bazi podataka:

Jezici su ostali:

Stilovi se uvoze:

Referenca uvezena:

Zadane postavke ne dodiruju, instalacijski program VBulletin je sve ispravno određen:

Uvođaju se zadane postavke:

Unesite administratorski podaci vbulletin:

Administrator vBulletin je uspješno dodan:

Instalacija vBulletin na hosting uspješno dovršen:

Nakon posljednjeg savjeta, izbrišite nepotrebne datoteke:

Možete otići na VBulletin forum, pobrinite se da sve radi ispravno:

Bilo koji motor zahtijeva određene radnje za optimizaciju za najbolje i brz rad, U našem slučaju, razgovarat ćemo o optimizaciji vbulletin 4.

Budući da se motor našeg foruma stalno ažurira, neću pisati o optimizaciji ranijih verzija vbulletin, a ja ću početi točno od verzije 4.1.12. Iako može postupno dovršiti ovaj članak i optimizaciju za prethodne verzijeJer ne svi ne ode novije.

Ovdje ću dati nekoliko primjera kako bi vaš vBulletin forum brže i bolje (počevši s najjednostavnijim stvarima, prelazeći se na složeniji). Imajte na umu da one stvari koje rade za mene neće nužno raditi s vama. Stoga, sve promjene koje radite na vlastitu odgovornost.

Onemogućite popis korisnika.

Postoji jednostavan način, jednostavno onemogućiti značajku u Admincp. (Postavke -\u003e Opcije -\u003e Korisnički popis opcija)

Ovo nije globalno, naravno, i možete ga preskočiti i ne učiniti, samo vas zapitajte pitanje? Budući da je popis korisnika može sortirati, vidjeti tko više poruka, ugleda i tako dalje. Koristi li vaše korisnike? Vjerojatno ne ... kad ste vi posljednji put Jeste li koristili ovaj popis?

Što se mene tiče, čini mi se da ove popise koriste samo spameri, jer je to najlakši način za prikupljanje svih imena sudionika na forumu VBulletin 4 za slanje spam u privatnim porukama.

Osim toga, zahtjev koji je potreban za generiranje popisa korisnika je strašan za poslužitelje baze podataka i može dovesti do velikog opterećenja poslužitelja.

Povećajte brzinu prilikom obrade popisa osobnih poruka.

Ako nemate vremena uvoze privatne poruke vanjski izvori Koristeći impex ili druga sredstva, možete se sigurno oslanjati na sortiranje prema ID-u za osobne poruke. ID sortiranje će to učiniti da vaš poslužitelj baze podataka nije morao resetirati osobne poruke u privremenoj tablici za obavljanje vrsti (što je potrebno mnogo brže).

Da biste to učinili, morate registrirati mali modul s lokacijom u privatnom_messagelist_filter i propisati u njemu sljedeće:

Ako ($ sortfield \u003d\u003d "pmtext.dateline") $ sortfield \u003d "pm.pmid";

I sve, upravo ste privatni.php ~ 20% brže.

Konfigurirajte više učinkovito pretraživanje Nedavne poruke korisnika.

Idemo na FTP, u potrazi za uključivanjem / klass_userprofile.php datoteku i zamijenite podatke u njemu kako slijedi, tražimo:

$ getTrastposss \u003d $ this-\u003e Registry-\u003e DB-\u003e Query_read_slave ("Odaberi thread.Title, thread.PostId, navoj.postUserid, post.postid, post.Dateline iz". table_priefix. "Post kao post unutarner Pridružite se. "THOR_PREFIX." Thread kao navoj koristeći (threadd) gdje nit.vible \u003d 1 i post.userid \u003d ". $ Will-\u003e Userinfo [" UserID "]." I post.vible \u003d 1 Red by post.Dateline Desc Ograničenje 20 ");

i zamijenite ga (i konkretnije red po):

$ getTrastposss \u003d $ this-\u003e Registry-\u003e DB-\u003e Query_read_slave ("Odaberi thread.Title, thread.PostId, navoj.postUserid, post.postid, post.Dateline iz". table_priefix. "Post kao post unutarner Pridružite se. "THOT_PREFIX." Thread kao navoj koristeći (threadid) gdje nit.vible \u003d 1 i post.userid \u003d ". $ This-\u003e UserInfo [" UserID "]." I post.vible \u003d 1 Red by post.Postid Desc Ograničenje 20 ");

To čini zahtjev malo točnije nego što postoji u ovom obliku. Dakle, ne morate napraviti sortiranje u privremenom tablici. Za korisnike koji imaju više od 1000 poruka, početni zahtjev će trajati oko 10 sekundi, u našem slučaju mnogo manje. To se prvenstveno odnosi na profil VBulletin 4, za prikaz najnovijih poruka.

Provjerite teme indeksa.

Ako forumi imaju zadani redoslijed sortiranja, a koji su instalirani bez promjena, ono što smo učinili više, pobrinite se da su svi vaši indeksi u svojim tablicama. Bilo je slučajeva kada su indeksi na nepoznatih razloga za mene prešli i neki forumi nisu otvorili.

Predlažem se kako bi bili sigurni da je zadano sortiranje u obliku datuma (stupac koji koristi te podatke naziva se "Dateline"), te za provedbu tog, izvršiti zahtjev:

Alter Tablica Dodavanje indeks ForumID2_DP (Forum, vidljivo, ljepljivo, Dateline)

Ovaj zahtjev je na mene primjenjiv, u vašem slučaju Forumid2_dp mora imati vaše ime. Koristiti na vlastitu odgovornost.

Budite oprezni pri instalaciji dodataka.

Samo zato što netko čini module i khaki, ne znači da su upravo za vas, radili na velikim forumima vbulletin 4 i nemaju pogreške. Izvrstan primjer je izvješća masovnog hakiranja, kroz jedan ili drugi hack.

Naravno, može se pretpostaviti da programeri ne mogu uzeti u obzir samo, i gurati sve hakove tako da ne sukobljavaju, ali ... Provjerite je li vBulletin modul ne uzrokuje velike opterećenja baze podataka, pobrinite se da hack ima potencijal za zaštitu SQL injekcija ili XSS. Nažalost, aplikacije i izmjene tisuća, i jednostavno ne provjeravaju sve. Bit će bolje ako svi hakiji ćete napisati sebe ili naručiti od bilo koga. Konkretno za vas i vaše zadatke.

Nemojte koristiti tablice u InnoDB.

Naravno, ja mogu pljunuti u svom licu, jer je ova tema već raspravljala o milijun puta, ali u vlastitom iskustvu mogu reći da radim 100% na mysam tablica za bilo koju akciju. To se događa obraditi 1000 zahtjeva u sekundi.

Ako već počeli pratiti gdje, kada upiti, činite sve, pogotovo u novom vBulletin pretraživanju, promijenite INNODB stol u MyISAM-u. Myisam se zadovoljava brže za odvajanje zahtjeva, jer ne morate kontrolirati blokiranje pojedinačnih zapisa. Innodb radi brže općenito, ali samo zato što vam omogućuje da obavite zahtjeve u isto vrijeme. Ako su vaši zahtjevi tako izvršeni brzo pod MyISAM-om, nema potrebe ići na Innodb. Imho.

Ocjenjivanje članaka

0%

Ocjena

Korisnička ocijena: 0,35 (1 glasova)