Un singur vbulletin. Ce forum este mai bun decât vbulletin sau Punbb. Subiect: Care este forumul mai bun vbulletin sau Punbb

Probabil ați văzut în mod repetat forumurile de pe motorul VBULLETIN. Forumurile ca atare nu mai sunt la vârf de modă, dar vbulletina este încă una dintre cele mai populare motoare. În ultimul său (al cincilea), versiunea a găsit mai multe vulnerabilități care pot strica viața administratorului. În acest articol, vă voi spune cum sunt exploatate.

Prima problemă este datele de utilizator de filtrare incorecte. A raportat un cercetător independent de securitate care dorea să rămână anonim. Vulnerabilitate, deși are unele limitări, a primit un statut critic, deoarece vă permite să citiți orice fișiere și să efectuați un cod arbitrar în sistemul țintă.

A doua vulnerabilitate a fost găsită de cercetători de la trul-l și au primit identificatorul CVE-2017-17672. Acesta este asociat cu caracteristicile de deserializare a datelor din motor și pot fi utilizate de atacatori pentru a elimina fișierele arbitrare în sistem.

Rapoartele complete cu detaliile ambelor probleme au fost publicate ca parte a programului dincolo de securitate din Securiteam. Există, de asemenea, exploatări POC pentru a demonstra vulnerabilitățile. Să mergem pe parcursul asta în ordine.

Gătit

Am folosit kitul de distribuție WAMP ca server.

Citiți fișierele, efectuați comenzi

Astfel, cauza primei vulnerabilități este logică incorectă atunci când procesează parametrul Ridestring, care permite atacatorului să adauge prin intermediul includerii la orice fișier de pe disc și să efectueze codul PHP care este situat în el.

Calea noastră începe cu cel mai important fișier - index.php, unde apare inițializarea aplicației.

/Index.php.

48: $ app \u003d vb5_frontend_application :: init ("config.php"); ... 60: $ Routing \u003d $ App-\u003e Gettrouter (); 61: $ Metoda \u003d $ Routing-\u003e Obaction (); 62: $ șablon \u003d $ rutare-\u003e Gettemplate (); 63: $ Clasa \u003d $ Routing-\u003e GetControllerClass ();

Să ne uităm la metoda VB5_Frontend_Application :: Init.

/includes/vb5/frontend/application.php.

13: Clasa VB5_Frontend_applicationAbstract 14: (15: Funcția statică publică Init ($ configfile) 16: (17: Părinte :: Init ($ configfile); 18: 19: Self :: $ instanță \u003d nou vb5_frontend_application (); 20: sine: : $ instanță-\u003e router \u003d noul vb5_frontend_routing (); 21: Selin :: $ instanță-\u003e SETRUTES ();

Aici suntem interesați de metoda Setoroutes.

47: Funcția publică SEATROTES () 48: (49: $ TYSE-\u003e ProcessqueryString (); ... 54: Dacă ($ _ Obțineți ["Routestring"]) 55: (56: $ PATH \u003d $ _GET [ "Routestring"];

Calea variabilă de $ primește valoarea UserData din parametrul Routring. Puteți trece drumul spre pagina forumului și va fi încărcată.

Să presupunem că am trecut / testul.

După ce variabila i se atribuie o bucată de cod, care se va scăpa de accident vascular cerebral la începutul liniei dacă este prezent.

/includes/vb5/frontend/routing.php.

75: Dacă (Strlen ($ PATH) și $ PATH (0) \u003d\u003d "/") 76: (77: $ PATH \u003d substr ($ calea, 1); // $ calea \u003d "Test" 78 :)

include \\ vb5 \\ fronnd \\ rutare.php

83: În cazul în care (strong ($ traseu)\u003e 2) 84: (85: $ ext \u003d startolower (substr ($ calea, -4)); 86: dacă (($ ext \u003d\u003d "gif ") sau ($ Ext \u003d\u003d ".png") sau ($ ext \u003d\u003d ".jpg") sau ($ ext \u003d\u003d ".css") 87: sau (substr ($ calea, -3)) \u003d\u003d ".js ") 88: (89: Header (http / 1.0 404 nu a fost gasit"); 90: Die (""); 91 :) 92 :)

După cum puteți vedea, verificarea este destul de ciudată. La o jenă minimă, prezența unei liste de extensii interzise este încurajată direct în codul listei. Și, în general, faptul că extensia este obținută prin tăierea a patru caractere de la capătul liniei (linia 85), cauzează uimire. În general, dacă încercăm să obținem un fișier cu extensii GIF, PNG, JSP, CSS sau JS, serverul va returna pagina 404 și va executa scriptul. Când sunt transmise toate verificările, cu Callapi, metoda Getroute este apelată din clasa VB_API_ROUTE. Căutați căi potrivite pe baza informațiilor transmise de utilizator.

Continuarea disponibilă numai participanților

Opțiunea 1. Alăturați-vă comunității site-ului pentru a citi toate materialele de pe site

Apartenența în comunitate În perioada specificată vă va deschide accesul la toate materialele Hacker, vă va mări reducerea cu acumularea personală și va acumula un rating profesionist XAKEP!

• Din:
• Inregistrat: 2014.07.07
• Mesaje: 3,825
• Îmi place PunBb:
• 5 ani 8 LUNI, 20 Zile,
• Îi place: 480

Subiect: Care este forumul mai bun vbulletin sau Punbb

Vbulletin (Vobla sau Bulka, pe măsură ce îi place să o numească) - unul dintre cele mai vechi motoare de forum comerciale scrise cu tehnologii PHP și MySQL. Pornind de la eliberarea primei versiuni în 2000, a fost făcută o lucrare extraordinară pentru a îmbunătăți funcționalitatea, care a permis VB să intre în lista celor mai bune produse software.

Licența vbulletin vă va costa aproximativ 250 de dolari. Nu vă îndoiți, aceasta este o cheltuială complet justificată și plătiți cu exactitate economiile din timpul de lucru și celulele nervoase. Majoritatea acestor bani merg la dezvoltatori și programatori care îi vor goli în continuare cu privire la îmbunătățirea funcționalității și eliberarea de patch-uri și completări (da, în cursul anului, toate actualizările vor fi furnizate gratuit).

2 Răspunde de. Punbb.

• Din: Moscova, Sovkhoznay 3, apt. 98.
• Inregistrat: 2014.07.07
• Mesaje: 3,825
• Îmi place PunBb:
• 5 ani 8 LUNI, 20 Zile,
• Îi place: 480

Listarea tuturor funcțiilor vbulletinului nu are sens. Au fost implementate aproape tot ceea ce poate avea nevoie de administratori de forumuri. Podcasting, suport multiferit, separare grupuri sociale și comunitate, sistem de rating (reputație). Set de bază complet Puteți adăuga extensii terțe.

Motorul forumului VBULLETIN creează o sarcină gravă pe server, în special dacă sunt instalate adăugări și scripturi terțe. Pentru a evita în continuare problemele legate de descărcarea paginilor, va trebui să vă forțați pentru găzduirea normală. Mai ales dacă în viitor vă preziceți frecvența dvs. o mai mare frecvență.

3 Răspunde de. Punbb.

• Din: Moscova, Sovkhoznay 3, apt. 98.
• Inregistrat: 2014.07.07
• Mesaje: 3,825
• Îmi place PunBb:
• 5 ani 8 LUNI, 20 Zile,
• Îi place: 480

Re: Care este forumul mai bun vbulletin sau Punbb

VBULLETIN, datorită rezistenței sale extraordinare la hacking și Spam Botam, este recomandată pentru utilizarea în proiecte serioase majore. În plus, setările standard și fișierele de configurare pot fi ușor schimbate în felul dvs., obținându-se și mai mult efect. Pe Internet există multe instrucțiuni și ghiduri de la meșteșugari populari, adevărul nu trebuie să fie de încredere.

Vbulletin, implementează idei la scară largă, deoarece este imposibil. Actualizări constante, servicii de înaltă calitate, extensii suplimentare și mecanisme de siguranță fiabile - toate acestea justifică pe deplin produsul petrecut pe produs.

4 Răspunde de. Punbb.

• Din: Moscova, Sovkhoznay 3, apt. 98.
• Inregistrat: 2014.07.07
• Mesaje: 3,825
• Îmi place PunBb:
• 5 ani 8 LUNI, 20 Zile,
• Îi place: 480

Re: Care este forumul mai bun vbulletin sau Punbb

Toate lista de funcții nu are nici un sens - în ea (sau în completare) a fost implementat aproape tot ceea ce poate fi necesar administrator pentru a crea un forum. Există, de asemenea, multiferitate și suport pentru podcasting și comunități de utilizatori și grupuri sociale și un sistem de reputație flexibil și multe altele.

Desigur, vbulletina are un numar mare de Suplimente și comunități de utilizator, deci nu vor exista probleme de serviciu, în special cu faptul că există un serviciu oficial de asistență. Dezavantajul vbulletinului, deși nu este foarte mare, este acumularea de adăugări, de exemplu, pentru blogurile utilizatorilor.

În general, nu există neajunsuri ale forumului. Se poate recomanda proiecte serioase mari, tocmai datorită fiabilității și durabilității sale la tot felul de atacuri. Ca rezultat, creează o sarcină semnificativă pe server, în special cu adăugările adăugate, dar serverele grave și administratorii serioși utilizează de obicei proiecte serioase.

Excepțional în scopuri informaționale. Administrația nu este responsabilă pentru conținutul său. Descărcare gratuită .

vBULLETIN CONNECT V5.3.3 este un pachet forum puternic, scalabil și complet personalizabil pentru site-ul dvs.

Versiune: 5.3.3 (nulled de vbupport.org)

Cerințe minime PHP 5.6
Compatibilitate cu PHP 7.1
Pentru instalare nouă Trebuie să redenumiți fișierul htaccess.txt v.htaccess
Când actualizați, ștergeți folderul Fonts (înainte de a începe actualizarea).

Noi oportunitati:
Noi UI cu o integrare socială extinsă;
Optimizat pentru dispozitivele mobile;
Instalare, control și configurare simplificată;
Noua arhitectură de bază de date pentru a îmbunătăți căutarea și performanța mai bună;
Schimbarea conținutului dinamic convenabil;
Extins pentru a schimba video și imagini;
Integrare completă cu viglink;
Mai mult de 100 de alte caracteristici și îmbunătățiri noi;

Aplicații încorporate:
Forum de discuții
Grupuri
Sondaje
Blog.

Optimizare motor de căutare:
Url prietenos SEO.
Tag-ul cu cuvinte cheie personalizate / Descrierea Meta

Flexibilitate:
Profiluri de utilizator extensibile
Suprascrierea URL-ului
Interfața localizării
Metadate.

Conformitatea standardelor:
Conectarea la sindicatele de conținut (RSS)
Asociația în Sindicatele Conținut: RSS, Atom, XML
PHP V5.4 compatibil

Fără un sistem integrat de rupere:
Singura intrare de intrare
Sistem de permisiune unică
Panou de control al administratorului unic
Creați un stil continuu / subiect prin articole, bloguri, forum

Panouri de control pentru fiecare rol:
Administrator de administrator.
Panoul de control al moderatorului
Panou de control personalizat
Sistem de permisiune comună
Motorul șablonului de putere pentru setările îmbunătățite

Gestionați utilizatorul:
Sistem multiplayer cu roluri și puteri nelimitate
Grupuri activate
Siguranță
Puteri granulate
Notificarea problemei
SSL compatibil
CAPTCHA.
Confirmarea adresei de e-mail
Administrator al editorului de știri al panoului de control
Sistemul "Strike" logare în sistem
Modificările de e-mail și parolă necesită parola curentă
Actul de protecție a confidențialității copiilor compatibili (COPPA) 1998

1. Mergeți la panoul de control al administratorului:
Limbi și fraze - Limbi de descărcare / încărcare.
2. În "Fie încărcarea fișierului XML din computer", introduceți calea spre
Fișierul vbulletin-limbă_ru.xml de pe computer.
3. În parametrul "Suprascrierea limbii", selectați "Creați o limbă nouă"
4. În "Titlul pentru limba încărcată", introduceți numele limbii.
În absența datelor introduse, limba va fi numită "rusă (RU)"
5. Setați "Da" în parametrul "Ignore Limbă versiune"
6. Setați "Da" în parametrul "CHARSET CARSET din fișierul XML"
7. Faceți clic pe butonul "Import" și așteptați procesul de descărcare.
7a Dacă doriți, puteți face o nouă limbă prin limbă "În mod implicit",
Făcând clic pe butonul "Implicit" / "valoare implicită".

Principalele avantaje:

• Baza rapidă și eficientă din baza de date
• Interfața constând din șabloane
• Motorul de căutare puternic
• Suport multilingv
• Profilurile utilizatorilor
• Panou de administrare puternic și convenabil
• Secțiuni / posturi / posturi nelimitate
• notificări prin email
• Sprijină Coppa.

Datorită faptului că demo-urile forumului, care pot fi instalate, producătorul nu oferă, a trebuit să instaleze versiunea din stânga, descărcată de la unele Varennik. Deci, instrucțiunea nu poate respecta complet procesul de instalare a forumului de licență. După instalare, site-ul a fost eliminat, nu a fost utilizat în scopul dorit.

Pentru a instala VBULLETIN, accesați Panoul de control al Hosting (butonul cu cap de viteză, opus ordinului de găzduire în facturare), acolo în "Manager fișiere", mergeți la directorul "WWW". Faceți clic pe butonul "Descărcați fișierul în directorul curent":

Specificați calea către fișierul de pe computer:

Alocați arhiva cu vbulletin, despachetați-o:

Ștergem fișierele și directoarele inutile, inclusiv directorul domeniului nostru WWW - cu condiția ca acolo să aveți nimic necesar. Dacă puneți în rădăcina site-ului sau în directorul site-ului există ceva necesar - pentru a șterge domeniul directorului www nu are nevoie de:

Evidențiați directorul cu instalatorul VBULLETIN, redenumiți-l:

Introducem numele site-ului nostru, ca nume al directorului:

Accesați secțiunea bazei de date, gazduire panouri de control:

Crea baza nouă datele MySQL., și utilizator, cu drepturi de acces complet la aceasta:

Rețineți că utilizatorul și baza au primit automat prefixul, numit contul dvs. pe serverul de găzduire:

Mergi la pagina principală Site-ul nostru, obținem o astfel de eroare vbulletină:

Conduceți calea către instalator în bara de adrese, trebuie să adăugați "Instalare / Install.php", după care începe programul de instalare a forumului VBULLETIN:

VBULLETIN INSTALLER verifică fișierele:

Pe următoarea sesiune Rulează conexiunea la baza de date, nu trece - pentru că În fișierul de configurare a forumului, datele incorecte sunt acționate:

Reveniți la panoul de control al găzduirii, manager de fișiere, Du-te la directorul cu forumul, apoi subdireceptorii "include". Deschideți fișierul "config.php":

Introducem datele corecte din baza de date din fișier de configurare., după care este închis:

Reveniți la site, la instalator. Faceți clic pe "F5", de data aceasta totul este bine, conexiunea la bază a crescut:

Programul de instalare VBULLETIN creează tabele în baza de date:

Instalatorul VBULLETIN modifică tipurile de mese:

Se adaugă date în baza de date:

Limbile sunt lăsate:

Stilurile sunt importate:

Referință importat:

Setările implicite nu ating, programul de instalare VBULLETIN este determinat corect:

Setările implicite sunt importate:

Introduceți datele de administrator VBULLETIN:

Administratorul VBULLETIN a fost adăugat cu succes:

Instalarea vbulletin pe găzduire finalizată cu succes:

În urma ultimului sfat al acestuia, ștergeți fișierele inutile:

Puteți merge la forumul vbulletin, asigurați-vă că totul funcționează corect:

Orice motor necesită anumite acțiuni pentru ao optimiza pentru cele mai bune și lucrare rapidă. În cazul nostru, vom vorbi despre optimizarea vbulletinului 4.

Deoarece motorul forumului nostru este actualizat în mod constant, nu voi scrie despre optimizarea versiunilor anterioare ale VBULLETIN, și voi începe exact de la versiunea 4.1.12. Deși se poate finaliza treptat acest articol și optimizarea pentru versiunile anterioarePentru că nu toată lumea merge la mai nou.

Aici voi da câteva exemple pentru a face forumul vbulletin mai repede și mai bine (începând cu cele mai simple lucruri, care se deplasează la mai complexe). Țineți minte că acele lucruri care lucrează pentru mine nu vor lucra neapărat cu dvs. Prin urmare, toate schimbările pe care le faceți la propriul risc.

Dezactivați lista de utilizatori.

Există o modalitate ușoară, dezactivați pur și simplu caracteristica în AdminCP. (Setări -\u003e Opțiuni -\u003e Opțiuni de listare a utilizatorilor)

Acest lucru nu este la nivel global, desigur, și puteți să-l săriți și să nu faceți, întrebați-vă întrebarea aveți nevoie de ea? Deoarece o listă de utilizatori poate sorta, pentru a vedea cine mai multe mesaje, reputație și așa mai departe. Utilizatorii dvs. îl folosesc? Probabil că nu ... când vă aflați ultima data Ați folosit această listă?

În ceea ce mă privește, mi se pare că aceste liste sunt doar spammeri, deoarece acesta este cel mai simplu mod de a colecta toate numele participanților la forum vbulletin 4 pentru a trimite spam în mesaje private.

În plus, cererea care este necesară pentru a genera o listă de utilizatori este teribilă pentru serverele de bază de date și poate duce la o încărcare mare de server.

Creșteți viteza la procesarea unei liste de mesaje personale.

Dacă nu aveți timp să importați mesaje private de la surse externe Folosind Impex sau alte mijloace, puteți să vă bazați în siguranță pe sortare după ID pentru mesaje personale. Sortarea ID-ului va face astfel încât serverul de baze de date nu a trebuit să reseteze mesajele personale într-o masă temporară pentru a efectua un fel (făcând o cerere mult mai rapidă).

Pentru a face acest lucru, trebuie să înregistrați un mic modul cu locația în Private_messagelist_filter și să vă prescrieți în următoarele:

Dacă ($ SortField \u003d\u003d "PMText.dateline") $ SortField \u003d "PM.pmid";

Și tot, tocmai ați făcut privat.Php cu ~ cu 20% mai repede.

Configurați mai mult căutare eficientă Mesaje recente de la utilizator.

Mergem la FTP, căutând fișierul Include /class_userprofile.php și să înlocuim datele din acesta după cum urmează, căutăm:

$ getlastposts \u003d $ this-\u003e query_read_slave ("Selectați thread.title, fir.threadid, fir.forumid, fir.postuserid, post.postid, post.dateline de la" table_prefix ". Post ca post interior Alăturați-vă. "Table_prefix". Thread ca fire utilizând (thread) în cazul în care fir.visible \u003d 1 și post.userid \u003d "$ acest-\u003e userInfo [" userid "]." Și post.visible \u003d 1 comandă de către post.Dateline desch Limita 20 ");

și înlocuiți-l (și mai specific, ordonați):

$ getlastposts \u003d $ this-\u003e query_read_slave ("Selectați thread.title, fir.threadid, fir.forumid, fir.postuserid, post.postid, post.dateline de la" table_prefix ". Post ca post interior Alăturați-vă. "Table_prefix". Thread ca fire utilizând (thread) în cazul în care fir.visible \u003d 1 și post.userid \u003d ". $ This-\u003e userInfo [" userid "]." Și post.vizibil \u003d 1 comandă de post.postid descrește Limita 20 ");

Acest lucru face o cerere puțin mai corectă decât există în acest formular. Astfel, nu trebuie să faceți sortarea într-o masă temporară. Pentru utilizatorii care au mai mult de 1000 de mesaje, cererea inițială ar dura aproximativ 10 secunde, în cazul nostru mult mai puțin. Acest lucru se referă în primul rând la profilul vbulletin 4, pentru a afișa cele mai recente mesaje.

Verificați subiectele indexului.

Dacă forumurile dvs. au o comandă de sortare implicită și care sunt instalate fără modificări, ceea ce am făcut mai mult, asigurați-vă că toți indicii dvs. sunt în tabelele lor. Au existat cazuri în care indicii din motive necunoscute au fost traversate și unele forumuri nu au fost deschise.

Vă propun să vă asigurați că sortarea implicită este sub forma unei date (coloana care utilizează aceste date este numită "DateLine") și pentru a implementa acest lucru, execută cererea:

Alter Table Thread Adăugați indexul Forumid2_dp (forumid, vizibil, lipicios, Dateline)

Această solicitare este aplicabilă în mod specific, în cazul dvs. Forumid2_DP trebuie să aibă numele dvs. Folosiți pe propria răspundere.

Aveți grijă la instalarea adăugărilor.

Doar pentru că cineva face module și kaki, nu înseamnă că sunt făcute tocmai pentru tine, au lucrat pe forumuri mari vbulletin 4 și nu au erori. Un exemplu excelent este rapoartele de hacking în masă, printr-unul sau altul hack.

Bineînțeles, se poate presupune că dezvoltatorii nu pot lua în considerare și împinge toate hack-urile, astfel încât să nu confrunte, dar ... Asigurați-vă că modulul VBULLETIN nu provoacă încărcături de bază de date mari, asigurați-vă că hack-ul are potențialul de protecție împotriva SQL Injection sau xss. Din păcate, aplicațiile și modificările mii și pur și simplu nu verificați totul. Va fi mai bine dacă toate hack-urile pe care le veți scrie sau ordine de la oricine. În special pentru dvs. și sarcinile dvs.

Nu utilizați tabele în Innodb.

Desigur, pot să scuipă în fața mea, deoarece acest subiect a fost deja discutat de un milion de ori, dar în experiența mea pot spune că lucrez 100% pe mesele myisam pentru orice acțiune. Se întâmplă să proceseze 1000 de solicitări pe secundă.

Dacă începeți deja la psihiatru unde, atunci când interogări, faceți totul, mai ales în noua căutare VBULLETIN, schimbați tabelul Innodb în Myisam. Myisam se întâlnește mai repede la cererile separate, deoarece nu trebuie să controlați blocarea înregistrărilor individuale. InnoDB lucrează mai repede în general, dar numai pentru că vă permite să efectuați solicitări în același timp. Dacă cererile dvs. sunt atât de executate rapid sub Myisam, nu este nevoie să mergeți la INDB. DIN PUNCTUL MEU DE VEDERE.

Rating articole

0%

Rating

Evaluarea utilizatorului: 0,35 (1 voturi)