Meny
hjemMultimedia

Annen profil visjon kraftkort. Hack Contest: En enkel måte å gjøre i IPB. Gratulerer til deltakeren

DB-feil på Invision Power Board (IPB)-forumet, som et resultat av at forumet begynte å avta ganske anstendig. Tabellen ibf_profile_portal_views viste seg å være ødelagt, og en tabellsjekk må gjøres. På forumet vises dette som følger: kan ikke gå inn i brukerprofilen:

Forumet viser heller ikke besøksstatistikk:

Vi går til IPBoard Admin Center og ser på systemegenskapene:

Vi går til seksjonen: Støtte> Diagnostikk> Systemstatus> Systemoversikt> Sjekke databasestrukturen.

Vi finner en feil: ibf_profile_portal_views. Klikk her for å fikse tabellen, eller du kan kjøre følgende spørringer manuelt.
- ENDRINGSTABELL ibf_profile_portal_views ADD views_member_id int(10) IKKE NULL standard "0".


OBS: Fant feil. Det ble funnet feil i databasen. Og for å fikse dem, klikk på lenken: Vil du prøve å fikse alt automatisk?


Og på motsatt side av tabellen ibf_profile_portal_views (profil og antall visninger), får vi et grønt flagg:


Men etter å ha logget ut og logget på administrasjonspanelet, vises feilen igjen. Så gå til Support > SQL Management > Tools > SQL Management Tools.


Og vi klikker på tabellen ibf_profile_portal_views.

Vi leser informasjon. Manuelle spørringsresultater: Kan ikke finne filen: "ibf_profile_portal_views" (feilnummer: 2). Deretter kjører vi i Kjør-feltet:
LAG TABELL ibf_profile_portal_views (
views_member_id int(10) IKKE NULL standard "0"
);
Og klikk på knappen: Kjør en ny forespørsel.


Feilen endret til: Tabell "ibf_profile_portal_views" eksisterer allerede. De. tillater ikke å lage nytt bord fordi den allerede eksisterer.


Vi prøver følgende alternativ: reparasjonstabell ibf_profile_portal_views;

Den samme feilen med å jobbe med databasen oppstår når du prøver å slette en bruker gjennom administrasjonssenteret (selv om dette ikke forstyrrer opprettelsen av en bruker, i tillegg til å flytte ham gjennom grupper).


Funksjonen til denne tabellen er som følger - brukerprofilvisninger akkumuleres der, deretter telles de og oppdateres i en annen tabell, og denne tabellen tømmes.
For å jobbe med databasen kan du også bruke enten Sypex Dumper eller phpMyAdmin webapplikasjon med åpen kilde, skrevet i PHP og representerer et webgrensesnitt for administrasjon av MySQL DBMS. PHPMyAdmin lar deg administrere gjennom nettleseren MySQL-servere, kjør SQL-kommandoer og se innholdet i tabeller og databaser. Applikasjonen er veldig populær blant webutviklere, siden den lar deg administrere MySQL DBMS uten å skrive inn SQL-kommandoer direkte, noe som gir et vennlig grensesnitt.

Etter min mening, som nettstedsadministrator, er det ikke personlig informasjon. Pluss at informasjonen finnes mange steder i tillegg til profilen din. Den vises i forumemner, i brukerpopupen din, den definerer hvilke tillatelser du har, osv. Så skjuler den på profilen din er en falsk følelse av privatliv.

For meg gir det rett og slett ingen mening å introdusere en falsk følelse av sikkerhet ved å "gjemme ting i profilen min" når alt du legger inn i profilen din på et fellesskapsforum i sin natur er offentlig for alle i nevnte fellesskap.

Sagt på en annen måte: på Facebook handler profilen din om deg. På et fellesskap handler profilen din om hva du har gjort i det fellesskapet. Det er motsatt synspunkt.

Jeg tror din mening om forumprofiler er datert. Det kan gjelde ganske mange fora, men du hevder å være en bedriftsløsning, så det er det jeg tar opp dette som. Siden min kan være små poteter, men den er i ferd med å bli en av de mest populære i sin nisje.

Profiler på siden min har mye potensial. Men fordi medlemmene mine er en blanding av fagfolk innenfor min bransjenisje og forbrukere/DIY-ere som ikke er det, kan kraften til medlemsprofilene mine som helhet bli alvorlig utvannet med diverse informasjon som ikke har noe med bransjen min å gjøre. , for eksempel de 2 medlemmene hvis profilsider jeg bruker for å illustrere poenget mitt.

Denne brukeren, MarmoMan, er en proff på sitt felt. Informasjonen han gir er relevant for bransjen og kan brukes som en slags bedriftsoppføring. Alle som besøker nettstedet kan se profilen hans og bransjestatusen hans, arbeidshistorien og prestasjoner og kontakte ham på forskjellige måter som kan være svært fordelaktige for ham. Denne typen profil er en fordel for nettstedet mitt.

Denne brukeren, arrowpawn, er en forbruker som kom til oss om gulvproblemer han/hun hadde, fikk svar og har ikke kommet tilbake siden. Men medlemmet sørget for å etterlate et varig inntrykk jeg først oppdaget i kveld. I tillegg til alle de ikke-bransjerelatert informasjon på Om meg-fanen, det er kontaktinformasjon, inkludert en lenke til et nettsted, på Kontaktinfo-fanen. Jeg har utnyttet den manglende evnen jeg har til å gjøre viss profilinformasjon og visse brukergrupper skjult for søkeedderkopper og ikke-medlemmer.

IPS4.x har et stort potensial til å gjøre profilsider til en ressurs for mange fora. Den kan blant annet ha muligheten til å legge til felt som er relevante for nettstedets fokus, slå personvern av og på for enkelte av disse feltene, gjøre noen/alle felt admin kontrollerbare og legge til SEO i profilen. Brukeren popup i andre områder av Nettstedet bør kun inneholde informasjon som administratoren anser som viktig på brukerkategoribasis og også tillate noen brukerkonfigurasjoner.

Poenget jeg vil gjøre deg kjent med er at alt som legges inn i en profil IKKE trenger å være offentlig, spesielt hvis du ønsker å ha mer kontroll over det relevante innholdet på nettstedet ditt. Og jeg er ikke en som vil sammenligne denne funksjonen med facebook. Mitt håp er at det vil være uforlignelig med alle andre tilgjengelige forumprodukter. Du har ressursene, ferdighetene og potensialet til å utvikle IPS-profiler til mer enn bare en diverse forumfunksjon.

Versjoner

  • 1.x.x, siste versjon - 1.3.1 , støtten er avviklet.
  • 2.0.x, siste versjon - 2.0.4: 4. mai
  • 2.1.x, siste versjon - 2.1.7: 13. juli
  • 2.2.x, siste versjon - 2.2.2: 22. februar
  • 2.3.x, siste versjon - 2.3.6: 2. oktober
  • 3.0.x, siste versjon - 3.0.5: 8. desember
  • 3.1.x, siste versjon - 3.1.4: 18. november
  • 3.2.x, siste versjon - 3.2.3: 9. september
  • 3.3.x, siste versjon - 3.3.4: 11. juli

Utviklingshistorie

Invision Power Services (IPS) ble opprettet av to programmerere Matt Mecham og Charles Warner i 2002, kort tid etter at de forlot Jarvis Entertainment Group (selskapet bak Ikonboard-foraene). Deres aller første produkt var IPB, som vakte oppmerksomheten til mange Ikonboard-brukere.

Selv om utviklerne av Invision Power Services i utgangspunktet valgte gratis distribusjon kildekode forum, i 2004 sluttet IPB å utstede gratis versjoner. Det ble besluttet å la prøveversjonen av Invision Power Board 2.0.0 stå for gratis nedlasting, men 27. september 2004 ble denne muligheten også stengt på grunn av introduksjonen av en gratis demoversjon, som har begrensninger på 5000 meldinger, 1000 emner og 200 brukere. Med dette satte Invision Power Services en stopper for påstander om at IPB alltid vil være gratis. 1. juli 2005 introduserte IPS en ny demogrense på ikke mer enn 15 dagers bruk (i noen tilfeller opptil 5 dager), og noen måneder senere ble denne perioden begrenset til 24 timer.

Versjon IPB 2.0.4 var den første versjonen, som begynte å bli offisielt solgt i Russland, så vel som CIS-landene. Det russisktalende samfunnet fikk offisiell tillatelse fra IPS til å selge den lokaliserte versjonen av IP.Board i det russisktalende segmentet.

Versjon 1.3

IPB-forumversjon 1.3 er den nyeste gratisversjonen av motoren og er fortsatt tillatt av IPS for bruk, selv om den ikke lenger støttes av utviklerne og tilgang til nedlasting på offisiell ressurs allerede avsluttet. Uavhengig av foreldelse av denne versjonen av forumet og tilstedeværelsen av kjente sikkerhetshull i den, bruker mange den fortsatt og uttrykker ikke noe ønske om å oppdatere. IPS fortsatte å gi ut sikkerhetsoppdateringer frem til utgivelsen av versjon 2.1 i utvikling i 2005, hvoretter det sluttet å støtte denne versjonen av forumet. Noen nettsteder fortsetter å gi ut sikkerhetsoppdateringer og oppdateringer for å kjøre denne PHP5-versjonen av forumet, men disse oppdateringene støttes ikke av IPS. Bruken av disse versjonene er ulovlig hvis du ikke lastet den ned fra den offisielle siden.

Versjon 2.0

Forumversjonen av IPB 2.0 er veldig lik 2.1. Denne versjonen er den nyeste versjonen som kan lastes ned gratis fra IPS offisielle nettsted. Akkurat som med versjon 1.3, fortsetter mange brukere å bruke den ved å bruke ubegrensede prøveversjoner av 2.0 PDR (Versjon under utvikling), PF (eng. forhåndsfinale; versjon, som er under testing og utvikling, slippes før den endelige utgivelsen) og Final, som også har egne sikkerhetshull og ikke lenger støttes av utviklere. Endelig versjon 2.0 kan lastes ned gratis i løpet av de første timene etter den offisielle utgivelsen fra den offisielle nettsiden til utvikleren.

Versjon 2.1

IPB 2.1 har betydelige fordeler i forhold til forgjengerne, for eksempel de siste sikkerhetsoppdateringene, Rich Text Editor som redigeringsverktøy for brukerinnlegg og mange modereringsverktøy, inkludert de som bruker AJAX-teknologi. Den administrative delen i IPB 2.1 har blitt fullstendig redesignet. Alle versjoner av IPB 2.1 er kommersiell programvare, det er ingen mulighet til å laste ned en demoversjon på den offisielle nettsiden.

Versjon 2.2.7

Invision Power Board 2.2 ble testet for sikkerhet av et tredjepartsselskap, noe som gjorde det mulig å finne farlige sårbarheter i forumskriptet allerede før utgivelsen siste versjon. Umiddelbart etter utgivelsen av versjon 2.2 ble versjon 2.2.1 utgitt, noe som lukket mange feil.

Versjon 2.3

Denne versjonen inkluderer mange kodeendringer som har forbedret systemytelsen i store fora. Fra versjon 2.3 kommer forumet med to stiler (Classic Blue og Pro Style). Sistnevnte er posisjonert av utvikleren som lett og kan enkelt brukes som grunnlag for å utvikle stilene deres, eller for eksempel som en stil for høyt trafikkerte fora. I denne versjonen har IPS utvidet forumets administrasjonspanel ved å legge til intellektuelt system hjelpe og gi et dashbord (dashboard) som hjemmeside adminsenter. Av de nye funksjonene i forumet er det verdt å merke seg utseendet på stiltilordning (URL Mapping). Denne tilpasningen gjorde det mulig å tilordne egendefinerte stiler til spesifikke URL-er: lag for eksempel en stil som er forskjellig fra stilen til forumene for profilvisningssiden.

Versjon 3.0

Denne versjonen har gjennomgått omfattende endringer, inkludert introduksjonen av en ny malmotor, nytt design, forbedret brukervennlighet ved redigering av maler, forbedringer av BB-koder, eget omdømmesystem og mye mer... PHP5 kreves også for den tredje versjonen. Oracle-databaser støttes ikke lenger. Hovedinnovasjonen var utseendet til kroker, som du kan endre og / eller legge til ny funksjonalitet med uten å endre kildekoden til forumet. For å installere kroker trenger administratoren bare å laste ned xml-fil koble til administrasjonssenteret. Dessverre er det bare mulig å lage noen kroker i utviklingsmodus og krever en enorm mengde selvlaget(mye av dette arbeidet kan automatiseres ved hjelp av IPB3 Toolkit).

Alle kroker er delt inn i følgende typer (navnene på krokene er hentet fra den russiske versjonen fra IBR, det originale navnet er angitt i parentes):

  • Action overloader - lar deg utvide den angitte kontrollerklassen med din egen klasse;
  • Skin overloader - lar deg utvide den angitte malklassen med din egen klasse (gjelder alle skins);
  • Malkrok – lar deg legge til vilkårlig kode (for det meste HTML) til rett sted i malen.

Versjon 3.1

Kroksystemet er også videreutviklet - nye typer kroker er lagt til:

  • Krok for malen (tidligere - Modifisering av malen, Malkrok) - utvidet, du kan erstatte blokker og få verdiene til variablene sendt til malen;
  • Hook for data (Data hook) - lar deg behandle data før du setter inn (kommer) inn i (fra) databasen;
  • Hook for library (Library hook) - lar deg omdefinere mange systemklasser.

Versjon 3.2

Notater

se også

  • Ikonboard - Et forumskript opprinnelig utviklet av Matt Mecham.

Lenker

Offisielt

  • Dokumentasjon for Invision Power Board - offisiell engelsk dokumentasjon for Invision Power Board
Nettfora

Det er en liten sårbarhet i IPB-forummotoren. Du kan trolle adminen og samtidig drepe forumet hans i noen dager (sjekkes personlig på to fora).

Gratulerer til deltakeren

Denne teksten ble levert til skrivekonkurransen som vi lanserte i vår. Vi behandlet et stort antall innkommende materialer, oppsummerte resultatene og premierte vinnerne. Forfatteren av dette notatet mottok en premie - et tre måneders abonnement på "Hacker". Gratulerer!

La oss se hvordan det fungerer steg for steg.

  1. Først må du registrere deg på forumet for å kunne poste.
  2. Etter registrering, lag et "søppel"-emne der moderatorer nesten aldri ser, eller legg igjen et innlegg i et av disse emnene. Innholdet i innlegget eller emnet bør være enormt. Noen administratorer gjør feil når de konfigurerer serveren, slik at brukere kan sende inn innlegg med ubegrenset tekstlengde. Personlig hashade jeg DDoS-ordet i SHA-512 og kopierte hashen inn i postskjemaet til nettleseren hang i noen sekunder fra mengden tekst som ble satt inn på siden.
  3. Sende inn et nytt emne eller innlegg. Motoren er implementert uten omhu, og lange innlegg reduseres ikke med muligheten til å utvide dem ved å klikke på en knapp. Og produksjonen av slike innlegg håndteres av PHP, ikke JS på klientsiden. Som et resultat får vi en enorm side med flere millioner tegn som lastes synkront fra serveren.
  4. Starter et DDoS-angrep på et emne med et stort innlegg. Siden alle forespørsler går direkte til PHP, og fra den til databasen, vil siden veldig raskt gå ned med en 500 Internal Server Error, og deretter med en 504 Gateway Timeout (siden databasen selv på en VPS ikke vil kunne gi et så stort innlegg så raskt, hva snakk om delt hosting) og vil ikke være i stand til å stå opp snart, fordi databasespørringer vil henge og vente på svar fra serveren og databasen.
  5. Du kan skjule angrepet for spesielt dumme moderatorer ved å lure ørene. IPB har en modul "Aktivitet" (Oppdag i engelsk versjon motor). Dette er et bånd som lagrer historien til de siste innleggene. Så, for å avlede oppmerksomheten til moderatorer (som kan oppdage emnet, slette det og utestenge kontoen), må du begynne å oversvømme siden med aktivitet umiddelbart etter at du har sendt søppelposten. Etter å ha sett loggene, vil systemadministratoren tro at angrepet går til meldingsfeeden og vil ikke kunne oppdage roten til problemet - emnet vi opprettet, som forresten også vil henge helt på siden utfoldet. Det eneste han kan gjøre er å stenge feeden fra uregistrerte brukere. Og selv da er dette en tvilsom avgjørelse, som brukervennligheten lider av.
  6. Noen timer med intenst DDoS-angrep på en søppelside, og bokstavelig talt i løpet av et par dager (maksimalt uker) vil forumdatabasen falle for alltid. Nei, den vil ikke bare falle, men vil bli ødelagt uopprettelig. Ikke sikker på hva det er og hvorfor det skjer, men det skjer. Dermed kan du ikke bare enkelt sette et forum på en dedikert server med et par klikk, men også ødelegge databasen, som vil være ekstremt vanskelig å gjenopprette uten en sikkerhetskopi.

Og du kan også fylle opp diskplass med logger. Vanligvis leier de en VPS med en 10–20 GB SSD-stasjon, og de har kun lov til å laste opp bilder til forumet fra tredjepartsressurser. Så det er veldig enkelt å fylle ut loggene - du må bruke den samme lange hashen i emnenavnet. Du kan også øke effekten litt ved hjelp av henvisninger ved å sette inn samme hash i dem.

Her er en interessant måte å få eieren av IPB-forumet til å tenke på å flytte til en annen motor.

Konkurransen fortsetter

Vi bestemte oss for å utvide konkurransen og gjøre den om til en permanent kampanje. Ved å sende oss en beskrivelse av hacket, nyttige råd eller beskrivelsen av et kult ukjent program, kan du fortsatt få et abonnement for en måned, tre måneder eller, hvis du prøver, et år.

Invision Power Board (også forkortelser: IPB, IP.Board) er en av verdens mest populære løsninger for å lage fora. Denne programvaren er utviklet av Invision Power Services, Inc.

Systemet ble opprettet ved hjelp av HTML, PHP, JS, AJAX teknologier, bruker MySQL som en databaseserver (i tillegg er det støtte for andre databaseservere, som Microsoft SQL Server og Oracle). IPB er betalt programvare.

Til tross for at Invision Power Board er et betalt produkt, er det et stort antall fellesskap involvert i støtten og modifikasjonen. De fleste mods og skall utviklet av disse fellesskapene er gratis og gratis å laste ned. Det største russiske fellesskapet er IBResource.ru.

IPB-forumversjon 1.3 er den nyeste gratisversjonen av motoren og er fortsatt tillatt å brukes av IPS, selv om den ikke lenger støttes av utviklerne og tilgangen til nedlasting på den offisielle ressursen er allerede avbrutt. Uavhengig av foreldelse av denne versjonen av forumet og tilstedeværelsen av kjente sikkerhetshull i den, bruker mange den fortsatt og uttrykker ikke noe ønske om å oppdatere. IPS fortsatte å gi ut sikkerhetsoppdateringer frem til utgivelsen av versjon 2.1 i utvikling i 2005, hvoretter det sluttet å støtte denne versjonen av forumet. På noen nettsteder kan du selv nå se lenker til sikkerhetsoppdateringene de utgir, samt oppdateringer som lar PHP5-forumskriptet fungere. Disse oppdateringene støttes ikke av IPS. Versjon 1.3.1 var shareware i en testperiode, som kan vare så lenge du vil. Etter denne versjonen begynte Invision Power Services å gi ut produktene sine under en kommersiell lisens.

Fordeler

  • Installasjon på kun 3 minutter. Automatiske installasjonskomponenter lar nesten alle brukere installere et forum på bare noen få minutter. Prosessen krever ikke spesiell kunnskap: systemet vil utføre alle operasjonene selv, og ber deg bare om de nødvendige dataene. Ja, hvorfor det ekstra snakket - IPB-lisens gir hver eier rett til å bestille gratis installasjon forumet ditt.
  • Teknisk støtte på russisk. IP.Board-lisensinnehavere har tilgang til teknisk støtte på russisk. Dessuten snakker tjenestespesialistene ikke bare ditt morsmål, de er også de "innfødte" utviklerne av forumet. Dette betyr at du ikke trenger å forklare symptomene på problemer for dem, og mulige måter tillatelser. Perfekt besittelse av emnet lar deg gjøre alt arbeidet med forumet uten å kaste bort tid og krefter fra klienten.
  • Sosial orientering. Gjør forumet til et fullverdig miljø for kommunikasjon, gi brukerne tilleggsfunksjoner for å bli kjent og etablere forbindelser - dette tilrettelegges av egenskapene til sosial interaksjon til forumdeltakere. IP.Board-brukere kan enkelt dele forskjellig innhold seg imellom, lage personlige profiler, få venner ved å legge dem til i kretsen deres.
  • Komfortabel nettgrensesnitt 2.0. Gode ​​ting er aldri nok. For enda større bekvemmelighet bruker IPB-systemet moderne teknologier web 2.0. Takket være dette, for å bruke det nødvendige grunnleggende funksjoner forumet er enkelt og intuitivt. Og siden det er enkelt, betyr det at deltakerne er skånet for det kjedelige tekniske «opptakten» til kommunikasjon.
  • Fleksibilitet. IPB har et bredt spekter av alternativer for å tilpasse fellesskapet ditt og tilpasse alternativer. Fleksibiliteten til systemet lar deg integrere forumet med tredjepartsløsninger uten mye innsats, samt endre ethvert element i grensesnittet (design, legge til nye funksjoner).
  • Merkevarelojalitet."Forbrukeren er ikke en tosk, han er din kone." Et interessant forum, gjennomtenkt organisering av samfunnet - alt dette fungerer for selskapets image, øker kundelojaliteten til merkevaren. Brukere vil definitivt sette pris på komforten til det opprettede miljøet for kommunikasjon: muligheten til å diskutere merkevaren med andre mennesker, utveksle meninger, svare og samhandle med ledelsen i selskapet selv.
  • Kostnadsreduksjon. Forumfellesskapet fungerer som en online konsultasjon 24 timer i døgnet, noe som reduserer antallet anrop til teknisk støtte betraktelig. Det er psykologisk mye enklere og lettere for brukeren å søke hjelp på forumet: vennlig deltakelse, mening og råd fra uavhengige eksperter - som et resultat av kommunikasjon løses ikke bare alle problemer, men også negative følelser fjernes på grunn av vanskeligheter som har oppstått.
  • Markedsundersøkelse. IP.Board-systemet lar deg bruke forumet som et verktøy for markedsundersøkelser. Studerer vurderingene og meningene til kundene dine, gjennomfører undersøkelser, tester – bredt tekniske evner forum lar deg bruke ulike forskningsopplegg.
  • Multitasking. Fleksibiliteten i systemkonfigurasjonen gjør det mulig å bruke IP.Board for å oppnå ulike mål. I tillegg til det tradisjonelle kommunikasjonsverktøyet har noen bedrifter organisert et prosjektstyringssystem basert på forumet. IP.Board fungerer både som intern og eksternt system jobbe med kunder. På grunn av muligheten for dype og individuelle innstillinger av tilgangsrettigheter, kan du tilpasse arbeidet til forumet selv til de mest komplekse og spesifikke oppgavene.
  • Passende priser. Kjøpsbetingelser programvareprodukt IP.Board og den utviklede tariffplanen lar deg finne beste alternativet for å løse problemene satt før forumet. Du betaler for det du virkelig bruker, det du virkelig trenger.
  • Ekstra moduler. Du kan utvide funksjonaliteten til IP.Board-systemet ved å bruke flere offisielle applikasjoner (gallerimodul, bloggmodul, filarkiv). Ferdige løsninger sparer deg for uavhengig utvikling og funksjonalitetsforbedringer. Tilleggsmoduler er fullt kompatible med systemet og bruker et enkelt fellesskapsområde, som lar dem installeres med ett klikk uten å kreve spesielle kunnskaper og ferdigheter. Applikasjoner støtter også nye versjoner, og vedlikeholdet er inkludert i generell pakke forumstøttetjenester.
  • Gjennomtenkt forumledelse. Effektiviteten til ethvert fellesskap tilrettelegges av kompetent «konduktør». Administrasjonsverktøyene innebygd i IP.Board lar deg lage et fleksibelt system for administrasjon og moderering med nødvendig differensiering av rettigheter. Forumledelse inkluderer brede muligheter: fra innholdskontroll til opprettelse av et diagnosesenter som lar deg vedlikeholde forumet, overvåke statistikk og sjekke systemet for mulige feil.

Muligheter

  • Enkel, intuitiv og rask installasjon
  • Tilgjengelighet av drivere for forskjellige typer databaser: MSSQL, Oracle, PostgreSQL
  • Full arbeidsberedskap umiddelbart etter installasjon
  • Grupper og Multi-grupper for brukere
  • Moderne brukerprofil
  • Venner