Jídelní lístek
DomovMultimédia

Další výkonová deska pro vidění z profilu. Hack Contest: Snadná cesta k DoS v IPB. Gratulujeme soutěžícímu

Chyba DB na fóru Invision Power Board (IPB), v důsledku čehož se fórum začalo docela slušně zpomalovat. Ukázalo se, že tabulka ibf_profile_portal_views je poškozená a je třeba provést kontrolu tabulky. Na fóru se to zobrazuje následovně: nelze vstoupit do uživatelského profilu:

Fórum také nezobrazuje statistiky návštěvníků:

Jdeme do IPBoard Admin Center a podíváme se na vlastnosti systému:

Jdeme do sekce: Podpora> Diagnostika> Stav systému> Přehled systému> Kontrola struktury databáze.

Nalezli jsme chybu: ibf_profile_portal_views. Kliknutím sem tabulku opravíte nebo můžete následující dotazy spustit ručně.
- ALTER TABLE ibf_profile_portal_views ADD views_member_id int(10) NOT NULL výchozí "0".


Pozor: Nalezené chyby. V databázi byly nalezeny chyby. A pro jejich opravu klikněte na odkaz: Chcete zkusit vše opravit automaticky?


A naproti tabulce ibf_profile_portal_views (profil a počet zobrazení) dostaneme zelenou vlajku:


Ale po odhlášení a přihlášení do admin panelu se chyba objeví znovu. Přejděte tedy na Podpora > Správa SQL > Nástroje > Nástroje pro správu SQL.


A klikneme na tabulku ibf_profile_portal_views.

Čteme informace. Výsledky ručního dotazu: "Nelze najít soubor: "ibf_profile_portal_views" (chyba: 2). Dále vjedeme do pole Spustit:
CREATE TABLE ibf_profile_portal_views (
views_member_id int(10) NOT NULL výchozí "0"
);
A klikněte na tlačítko: Spustit nový požadavek.


Chyba se změnila na: Tabulka "ibf_profile_portal_views" již existuje. Tito. neumožňuje vytvořit nový stůl protože už existuje.


Vyzkoušíme následující možnost: opravit tabulku ibf_profile_portal_views;

Stejná chyba práce s databází se objeví při pokusu o smazání uživatele prostřednictvím centra pro správu (ačkoli to nezasahuje do vytváření uživatele ani jeho přesouvání ve skupinách).


Funkce této tabulky je následující - shromažďují se tam zobrazení uživatelského profilu, poté se počítají a aktualizují v jiné tabulce a tato tabulka se vymaže.
Pro práci s databází můžete také použít webovou aplikaci Sypex Dumper nebo phpMyAdmin open source, napsaný v PHP a představující webové rozhraní pro správu MySQL DBMS. PHPMyAdmin umožňuje správu prostřednictvím prohlížeče MySQL servery, spouštět příkazy SQL a prohlížet obsah tabulek a databází. Aplikace je velmi oblíbená mezi webovými vývojáři, protože vám umožňuje spravovat MySQL DBMS bez přímého zadávání SQL příkazů a poskytuje přátelské rozhraní.

Podle mého názoru, jako správce webu, to nejsou osobní údaje. Navíc tyto informace žijí na mnoha místech kromě vašeho profilu. Zobrazují se v tématech fóra, ve vyskakovacím okně vašeho uživatele, definují, jaká máte oprávnění atd. Takže je skryjte na vašem profilu je falešný pocit soukromí.

Pro mě prostě nedává smysl zavádět falešný pocit bezpečí „skrýváním věcí v mém profilu“, když vše, co vložíte do svého profilu na komunitním fóru, je ze své podstaty veřejné pro všechny v uvedené komunitě.

Jinak řečeno: na Facebooku je váš profil především o vás. V komunitě je váš profil o tom, co jste v této komunitě udělali. Je to opačný úhel pohledu.

Myslím, že váš názor na profily na fóru je zastaralý. Může se to týkat mnoha fór, ale vy tvrdíte, že jste podnikové řešení, takže to řeším. Moje stránky jsou možná malé brambory, ale ve svém výklenku se stávají jedním z nejoblíbenějších.

Profily na mých stránkách mají velký potenciál. Ale protože mí členové jsou směsicí profesionálů v rámci mého oboru a spotřebitelů/kutilů, kteří jimi nejsou, může být síla mých profilů členů jako celku vážně rozmělněna různými informacemi, které nemají s mým odvětvím vůbec nic společného. , například 2 členové, jejichž profilové stránky používám k ilustraci svého názoru.

Tento uživatel, MarmoMan, je profík ve svém oboru. Informace, které poskytuje, jsou relevantní pro dané odvětví a lze je použít jako určitý druh firemního zápisu. Každý, kdo navštíví stránky, si může prohlédnout jeho profil a status v oboru, pracovní historii a úspěchy a kontaktovat ho různými způsoby, které pro něj mohou být velmi přínosné. Tento druh profilu je přínosem pro můj web.

Tento uživatel, arrowpawn, je spotřebitel, který k nám přišel ohledně problémů s podlahami, které měl, dostal odpovědi a od té doby se nevrátil. Člen se však postaral o to, aby zanechal trvalý dojem, který jsem objevil až dnes večer. Kromě všech informace nesouvisející s průmyslem na záložce O mně, na záložce Kontaktní informace jsou kontaktní informace, včetně odkazu na webovou stránku. využil jsem toho, že musím skrýt určité profilové informace a určité skupiny uživatelů před vyhledávači a nečlenové.

IPS4.x má velký potenciál proměnit profilové stránky v přínos pro mnoho fór. Mohl by mít mimo jiné možnost přidávat pole relevantní pro zaměření webu, zapínat a vypínat soukromí pro některá z těchto polí, udělovat některá/všechna pole ovladatelná administrátorem a přidávat do profilu SEO, mimo jiné. Uživatelské vyskakovací okno v jiných oblastech stránka by měla obsahovat pouze informace, které správce považuje za důležité na základě kategorií uživatelů, a také umožňovat určitou uživatelskou konfiguraci.

Chci vás upozornit na to, že vše vložené do profilu NEMUSÍ být veřejné, zvláště pokud chcete mít větší kontrolu nad relevantním obsahem svého webu. A nejsem ten, kdo bude tuto funkci srovnávat s facebookem. Doufám, že to bude nesrovnatelné s jakýmkoli jiným dostupným fórovým produktem. Máte zdroje, dovednosti a potenciál k tomu, abyste z profilů IPS vyvinuli víc než jen různé funkce fóra.

Verze

  • 1.x.x, Nejnovější verze - 1.3.1 , podpora byla ukončena.
  • 2.0.x, Nejnovější verze - 2.0.4: 4. května
  • 2.1.x, Nejnovější verze - 2.1.7: 13. července
  • 2.2.x, Nejnovější verze - 2.2.2: 22. února
  • 2.3.x, Nejnovější verze - 2.3.6: 2. října
  • 3.0.x, Nejnovější verze - 3.0.5: 8. prosince
  • 3.1.x, Nejnovější verze - 3.1.4: 18. listopadu
  • 3.2.x, Nejnovější verze - 3.2.3: 9. září
  • 3.3.x, Nejnovější verze - 3.3.4: 11. července

Historie vývoje

Invision Power Services (IPS) vytvořili dva programátoři Matt Mecham a Charles Warner v roce 2002, krátce poté, co opustili Jarvis Entertainment Group (společnost stojící za fóry Ikonboard). Jejich úplně prvním produktem byl IPB, který upoutal pozornost mnoha uživatelů Ikonboard.

Přestože vývojáři Invision Power Services zpočátku zvolili bezplatnou distribuci zdrojový kód fórum, v roce 2004 přestala IPB vydávat bezplatné verze. Bylo rozhodnuto ponechat zkušební verzi Invision Power Board 2.0.0 ke stažení zdarma, ale 27. září 2004 byla tato příležitost také uzavřena kvůli představení bezplatné demo verze, která má limity na 5000 zpráv, 1000 témat a 200 uživatelů. Tím Invision Power Services ukončila tvrzení, že IPB bude vždy svobodná. Dne 1. července 2005 IPS představil nový demo limit na maximálně 15 dní používání (v některých případech až 5 dní) ao několik měsíců později bylo toto období omezeno na 24 hodin.

Verze IPB 2.0.4 byla první verzí, která se začala oficiálně prodávat v Rusku a také v zemích SNS. Rusky mluvící komunita získala od IPS oficiální povolení k prodeji lokalizované verze IP.Board v rusky mluvícím segmentu.

Verze 1.3

Fóra IPB verze 1.3 je nejnovější bezplatná verze enginu a je stále povolena IPS k použití, i když již není podporována vývojáři a přístup ke stažení na oficiální zdroj již ukončeno. Bez ohledu na zastaralost této verze fóra a přítomnost známých bezpečnostních děr v ní mnoho lidí stále používá a nevyjadřují žádnou touhu aktualizovat. IPS pokračovalo ve vydávání aktualizací zabezpečení až do vydání verze 2.1 do vývoje v roce 2005, po kterém přestala podporovat tuto verzi fóra. Některé weby nadále uvolňují bezpečnostní aktualizace a aktualizace pro spuštění této verze PHP5 fóra, ale tyto aktualizace nejsou podporovány IPS. Používání těchto verzí je nezákonné, pokud jste si je nestáhli z oficiálních stránek.

Verze 2.0

Verze fóra IPB 2.0 je velmi podobná verzi 2.1. Tato verze je nejnovější verzí, kterou lze zdarma stáhnout z oficiálních stránek IPS. Stejně jako u verze 1.3 ji mnoho uživatelů stále používá a používá neomezené zkušební verze 2.0 PDR (verze ve vývoji), PF (eng. předfinále; verze, která je ve fázi testování a vývoje, je vydána před konečným vydáním) a Final, které mají také své vlastní bezpečnostní díry a vývojáři je již nepodporují. Finální verzi 2.0 bylo možné stáhnout zdarma během prvních hodin po oficiálním vydání z oficiálních stránek vývojáře.

Verze 2.1

IPB 2.1 má oproti svým předchůdcům významné výhody, jako jsou nejnovější aktualizace zabezpečení, editor Rich Text Editor jako editor uživatelských příspěvků a mnoho nástrojů pro moderování, včetně těch, které využívají technologii AJAX. Administrativní část v IPB 2.1 byla kompletně přepracována. Všechny verze IPB 2.1 jsou komerční software, na oficiálních stránkách není možnost stáhnout demoverzi.

Verze 2.2.7

Invision Power Board 2.2 byl testován na bezpečnost třetí stranou, což umožnilo najít nebezpečné zranitelnosti ve skriptu fóra ještě před vydáním finální verze. Ihned po vydání verze 2.2 byla vydána verze 2.2.1, která uzavřela mnoho chyb.

Verze 2.3

Tato verze obsahuje mnoho změn kódu, které zlepšily výkon systému ve velkých fórech. Od verze 2.3 přichází fórum se dvěma styly (Classic Blue a Pro Style). Ten je vývojářem nastaven jako odlehčený a lze jej snadno použít jako základ pro vývoj jejich stylů nebo například jako styl pro fóra s vysokou návštěvností. V této verzi IPS rozšířil admin panel fóra o přidání intelektuální systém pomoc a poskytnutí dashboardu (dashboard) as domovská stránka admincenter. Z nových funkcí fóra stojí za zmínku vzhled změny stylu (URL Mapping). Toto přizpůsobení umožnilo přiřadit vlastní styly konkrétním adresám URL: například upravit styl odlišný od stylu fóra pro stránku zobrazení profilu.

Verze 3.0

Tato verze prošla rozsáhlými změnami, včetně zavedení nového enginu šablon, Nový design, vylepšené pohodlí při editaci šablon, vylepšení BB kódů, vlastní reputační systém a mnoho dalšího... PHP5 je vyžadováno i pro 3. verzi. Databáze Oracle již nejsou podporovány. Hlavní inovací byl vzhled háčků, pomocí kterých můžete měnit a/nebo přidávat nové funkce bez změny zdrojového kódu fóra. Chcete-li nainstalovat háky, správce stačí stáhnout xml soubor háček v centru pro správu. Bohužel vytváření jakýchkoli háčků je možné pouze ve vývojovém režimu a vyžaduje obrovské množství vlastní výroby(velkou část této práce lze automatizovat pomocí sady nástrojů IPB3).

Všechny háčky jsou rozděleny do následujících typů (názvy háčků jsou převzaty z ruské verze z IBR, původní název je uveden v závorkách):

  • Action přetěžovač - umožňuje rozšířit zadanou třídu kontroléru o vlastní třídu;
  • Přetěžovač skinů - umožňuje rozšířit zadanou třídu šablony o vlastní třídu (platí pro všechny skiny);
  • Šablona - umožňuje přidat libovolný kód (většinou HTML) na správné místo v šabloně.

Verze 3.1

Systém háčků byl také dále vyvinut - byly přidány nové typy háčků:

  • Hák pro šablonu (dříve - Modifikace šablony, Háček šablony) - rozbaleno, můžete nahradit bloky a získat hodnoty proměnných předávaných do šablony;
  • Hook for data (Data hook) - umožňuje zpracovávat data před vložením (dostat se) do (z) databáze;
  • Hook for library (Library hook) – umožňuje předefinovat mnoho systémových tříd.

Verze 3.2

Poznámky

viz také

  • Ikonboard - skript fóra původně vyvinutý Mattem Mechamem.

Odkazy

Oficiální

  • Dokumentace k Invision Power Board - oficiální anglická dokumentace k Invision Power Board
Webová fóra

V enginu fóra IPB je malá chyba zabezpečení. Můžete admina trollovat a zároveň mu na pár dní zabít fórum (osobně ověřeno na dvou fórech).

Gratulujeme soutěžícímu

Tento text byl zaslán do soutěže o psaní, kterou jsme zahájili na jaře. Zabývali jsme se velkým množstvím došlých materiálů, shrnuli výsledky a ocenili vítěze. Autor této poznámky získal cenu - tříměsíční předplatné "Hacker". Gratulujeme!

Podívejme se, jak to funguje krok za krokem.

  1. Nejprve se musíte zaregistrovat na fóru, abyste mohli přispívat.
  2. Po registraci vytvořte téma "odpadky", kam se moderátoři téměř nikdy nedívají, nebo zanechte příspěvek v jednom z těchto témat. Obsah příspěvku nebo tématu by měl být obrovský. Někteří administrátoři dělají chyby při konfiguraci serveru a umožňují uživatelům odesílat příspěvky s neomezenou délkou textu. Osobně jsem hashoval slovo DDoS v SHA-512 a zkopíroval hash do formuláře příspěvku, dokud se prohlížeč na několik sekund nezastavil z množství textu vloženého na stránku.
  3. Odeslání nového tématu nebo příspěvku. Engine je implementován bez péče a dlouhé příspěvky nejsou redukovány možností jejich rozbalení kliknutím na tlačítko. A výstup takových příspěvků zpracovává PHP, nikoli JS na straně klienta. Výsledkem je obrovská stránka s několika miliony znaků, které se načítají synchronně ze serveru.
  4. Zahájení DDoS útoku na téma s velkým příspěvkem. Vzhledem k tomu, že všechny požadavky jdou přímo do PHP az něj do databáze, web velmi rychle spadne s 500 Internal Server Error a poté s 504 Gateway Timeout (protože databáze ani na VPS nebude schopna poskytnout takový obrovský příspěvek tak rychle, co mluvit o sdíleném hostingu) a nebude moci brzy vstát, protože databázové dotazy budou viset a čekat na odpověď ze serveru a databáze.
  5. Útok před obzvláště hloupými moderátory skryjete klamáním uší. IPB má modul „Aktivita“ (Objevte v anglická verze motor). Toto je páska, která uchovává historii nedávných příspěvků. Abyste tedy odvedli pozornost moderátorů (kteří mohou téma odhalit, smazat a zablokovat účet), je potřeba ihned po odeslání odpadkového příspěvku začít zahlcovat stránku aktivitou. Po zhlédnutí protokolů si správce systému bude myslet, že útok směřuje na zdroj zpráv, a nebude schopen zjistit kořen problému - téma, které jsme vytvořili, které mimochodem také zcela viset na stránce rozvinula. Jediné, co může udělat, je zavřít feed od neregistrovaných uživatelů. A i tak se jedná o pochybné rozhodnutí, kterým trpí použitelnost.
  6. Několik hodin intenzivního DDoS útoku na stránku s odpadky a doslova za pár dní (maximálně týdnů) databáze fóra navždy spadne. Ne, nejen že spadne, ale bude rozbitý a neopravitelný. Nejste si jisti, co to je a proč se to děje, ale děje se to. Můžete tak nejen snadno umístit fórum na Dedikovaný server několika kliknutími, ale také zničit jeho databázi, kterou bude velmi obtížné obnovit bez zálohy.

A také můžete zaplnit místo na disku protokoly. Obvykle si pronajímají VPS s 10–20 GB SSD diskem a do fóra mohou nahrávat obrázky pouze ze zdrojů třetích stran. Vyplňování protokolů je tedy velmi snadné – v názvu tématu musíte použít stejně dlouhý hash. Účinek můžete také mírně zvýšit pomocí referrerů tím, že do nich vložíte stejný hash.

Zde je takový zajímavý způsob, jak přimět majitele fóra IPB přemýšlet o přechodu na jiný engine.

Soutěž pokračuje

Rozhodli jsme se soutěž prodloužit a udělat z ní trvalou propagaci. Tím, že nám zašlete popis hacku, užitečná rada nebo popis skvělého neznámého programu, stále můžete získat předplatné na měsíc, tři měsíce nebo, pokud se pokusíte, na rok.

Invision Power Board (také zkratky: IPB, IP.Board) je jedním z celosvětově nejoblíbenějších řešení pro vytváření fór. Tento software je vyvinut společností Invision Power Services, Inc.

Systém byl vytvořen pomocí technologií HTML, PHP, JS, AJAX, jako databázový server využívá MySQL (navíc je zde podpora dalších databázových serverů, např. Microsoft SQL Server a Oracle). IPB je placený software.

Navzdory tomu, že Invision Power Board je placený produkt, na jeho podpoře a úpravě se podílí velké množství komunit. Většina modů a vzhledů vyvinutých těmito komunitami je zdarma a ke stažení zdarma. Největší ruská komunita je IBResource.ru.

Fóra IPB verze 1.3 je nejnovější bezplatná verze enginu a je stále povoleno jej používat IPS, ačkoli již není podporováno vývojáři a přístup ke stahování z oficiálního zdroje již byl ukončen. Bez ohledu na zastaralost této verze fóra a přítomnost známých bezpečnostních děr v ní mnoho lidí stále používá a nevyjadřují žádnou touhu aktualizovat. IPS pokračovalo ve vydávání aktualizací zabezpečení až do vydání verze 2.1 do vývoje v roce 2005, po kterém přestala podporovat tuto verzi fóra. Na některých webech dokonce nyní můžete vidět odkazy na aktualizace zabezpečení, které vydávají, a také aktualizace, které umožňují fungování skriptu fóra PHP5. Tyto aktualizace nejsou podporovány IPS. Verze 1.3.1 byla shareware pro testovací období, které může trvat, jak dlouho budete chtít. Po této verzi začala Invision Power Services uvolňovat své produkty pod komerční licencí.

Výhody

  • Instalace za pouhé 3 minuty. Komponenty automatické instalace umožňují téměř každému uživateli nainstalovat fórum během několika minut. Proces nevyžaduje speciální znalosti: systém provede všechny operace sám a požádá vás pouze o nezbytná data. Ano, proč ta řeč navíc - licence IPB dává každému majiteli právo na objednávku instalace zdarma vaše fórum.
  • Technická podpora v ruštině. Přístup mají držitelé licence IP.Board technická podpora v Rusku. Specialisté na služby navíc nemluví pouze vaším rodným jazykem, jsou také „nativními“ vývojáři fóra. To znamená, že jim nebudete muset vysvětlovat příznaky problémů a možné způsoby oprávnění. Perfektní držení předmětu vám umožní dělat veškerou práci s fórem bez plýtvání časem a úsilím klienta.
  • Sociální orientace. Udělat z fóra plnohodnotné prostředí pro komunikaci, dát uživatelům další funkce pro seznámení a navázání spojení – to usnadňují atributy sociální interakce účastníků fóra. Uživatelé IP.Board mohou mezi sebou snadno sdílet různý obsah, vytvářet si osobní profily, získávat přátele přidáním do svého kruhu.
  • Komfortní webové rozhraní 2.0. Dobrých věcí není nikdy dost. Pro ještě větší pohodlí využívá systém IPB moderní technologie web 2.0. Díky tomu využít potřebné základní funkce fórum je snadné a intuitivní. A protože je to jednoduché, znamená to, že účastníci jsou ušetřeni nudné technické „předehry“ komunikace.
  • Flexibilita. IPB má širokou škálu možností pro personalizaci vaší komunity a přizpůsobení možností. Flexibilita systému umožňuje integrovat fórum s řešeními třetích stran bez velkého úsilí, stejně jako změnit jakýkoli prvek rozhraní (design, přidání nových funkcí).
  • Věrnost značce."Spotřebitel není blázen, je to tvoje žena." Zajímavé fórum, promyšlená organizace komunity – to vše funguje pro image firmy, zvyšuje loajalitu zákazníků ke značce. Uživatelé určitě ocení komfort vytvořeného prostředí pro komunikaci: možnost diskutovat o značce s dalšími lidmi, vyměňovat si názory, reagovat a komunikovat s vedením samotné společnosti.
  • Snižování nákladů. Komunita fóra funguje jako online konzultace 24 hodin denně, což výrazně snižuje počet hovorů na vaši technickou podporu. Pro uživatele je psychologicky mnohem snazší a snazší vyhledat pomoc na fóru: přátelská účast, názor a rady od nezávislých odborníků - v důsledku komunikace jsou nejen vyřešeny všechny problémy, ale také jsou odstraněny negativní emoce kvůli potížím, které vznikly.
  • Marketingový výzkum. Systém IP.Board umožňuje využívat fórum jako nástroj pro marketingový průzkum. Studium hodnocení a názorů vašich zákazníků, provádění průzkumů, testování – široké technické možnosti fórum vám umožní použít různé výzkumné programy.
  • Multitasking. Flexibilita konfigurace systému umožňuje použití IP.Board k dosažení různých cílů. Kromě tradičního komunikačního nástroje některé společnosti zorganizovaly systém řízení projektů založený na fóru. IP.Board slouží jak jako interní, tak i vnější systém pracovat s klienty. Díky možnosti hlubokého a individuálního nastavení přístupových práv můžete práci fóra přizpůsobit i těm nejsložitějším a nejkonkrétnějším úkolům.
  • Přiměřená cena. Podmínky nákupu softwarový produkt IP.Board a vyvinutý tarifní plán vám umožní najít nejlepší možnost k vyřešení problémů uvedených před fórem. Platíte za to, co skutečně používáte, co skutečně potřebujete.
  • Přídavné moduly. Funkčnost systému IP.Board můžete rozšířit pomocí dalších oficiálních aplikací (modul galerie, modul blogu, archiv souborů). Hotová řešení vás ušetří od nezávislého vývoje a vylepšení funkčnosti. Další moduly jsou plně kompatibilní se systémem a využívají jeden komunitní prostor, což umožňuje jejich instalaci jedním kliknutím bez nutnosti speciálních znalostí a dovedností. Aplikace také podporují nové verze a jejich údržba je součástí obecný balíček služby podpory fóra.
  • Promyšlená správa fóra. Efektivitu každé komunity napomáhá kompetentní „vedení“. Nástroje pro správu zabudované do IP.Board umožňují vytvořit flexibilní systém správy a moderování s nezbytným rozlišením práv. Správa fóra zahrnuje široké možnosti: od kontroly obsahu až po vytvoření diagnostického centra, které vám umožní udržovat fórum, sledovat statistiky a kontrolovat systém na možné chyby.

Možnosti

  • Jednoduchá, intuitivní a rychlá instalace
  • Dostupnost ovladačů pro různé typy databáze: MSSQL, Oracle, PostgreSQL
  • Plná připravenost k práci ihned po instalaci
  • Skupiny a Multi-skupiny pro uživatele
  • Moderní uživatelský profil
  • Přátelé