Probabilmente hai visto molte volte forum sul motore vBulletin. I forum veri e propri non sono più di moda, ma vBulletin è ancora uno dei motori più popolari. Nella sua ultima (quinta) versione sono state rilevate diverse vulnerabilità che possono rovinare notevolmente la vita di un amministratore. In questo articolo ti racconterò come vengono utilizzati.

Il primo problema è il filtraggio errato dei dati utente. È stato segnalato da un ricercatore di sicurezza indipendente che ha voluto rimanere anonimo. La vulnerabilità, sebbene presenti alcune limitazioni, ha ricevuto lo stato critico perché consente di leggere qualsiasi file ed eseguire codice arbitrario sul sistema di destinazione.

La seconda vulnerabilità è stata rilevata dai ricercatori di TRUEL IT e ha ricevuto l'identificatore CVE-2017-17672. È correlato alle funzionalità di deserializzazione dei dati nel motore e può essere utilizzato da un utente malintenzionato per eliminare file arbitrari dal sistema.

Rapporti completi che dettagliano entrambi i problemi sono stati pubblicati come parte del programma Beyond Security di SecuriTeam. Esistono anche exploit PoC per dimostrare le vulnerabilità. Esaminiamo tutto questo in ordine.

Preparativi

Ho utilizzato la distribuzione WAMP come server.

Leggere file, eseguire comandi

Quindi, il motivo della prima vulnerabilità è una logica errata durante l'elaborazione del parametro routestring, che consente a un utente malintenzionato di includere qualsiasi file sul disco tramite include ed eseguire il codice PHP che si trova in esso.

Il nostro percorso inizia con il file più importante: index.php, dove avviene l'inizializzazione di base dell'applicazione.

/index.php

48: $app = vB5_Frontend_Application::init("config.php"); ... 60: $routing = $app->getRouter(); 61: $metodo = $routing->getAction(); 62: $template = $routing->getTemplate(); 63: $class = $routing->getControllerClass();

Diamo un'occhiata al metodo vB5_Frontend_Application::init.

/include/vb5/frontend/application.php

13: la classe vB5_Frontend_Application estende vB5_ApplicationAbstract 14: ( 15: funzione statica pubblica init($configFile) 16: ( 17: parent::init($configFile); 18: 19: self::$instance = new vB5_Frontend_Application(); 20: self::$istanza->router = new vB5_Frontend_Routing( 21: self::$istanza->router->setRoutes();

Qui siamo interessati al metodo setRoutes.

47: funzione pubblica setRoutes() 48: ( 49: $this->processQueryString(); ... 54: if (isset($_GET["routestring"])) 55: ( 56: $percorso = $_GET[" stringa di percorso"];

La variabile $path contiene il valore userdata dal parametro routestring. Puoi passarci il percorso della pagina del forum e verrà caricata.

Diciamo che abbiamo superato /test .

Dopo aver assegnato una variabile, c'è una parte di codice che elimina la barra all'inizio della riga, se presente.

/include/vb5/frontend/routing.php

75: if (strlen($percorso) AND $percorso(0) == "/") 76: ( 77: $percorso = substr($percorso, 1); // $percorso = "test" 78: )

include\vb5\frontend\routing.php

83: if (strlen($percorso) > 2) 84: ( 85: $ext = strtolower(substr($percorso, -4)) ; 86: if (($ext == ".gif") OR ($ext == ".png") OR ($ext == ".jpg") OR ($ext == ".css") 87: OR (strtolower(substr($percorso, -3)) == ".js" )) 88: ( 89: intestazione("HTTP/1.0 404 non trovato"); 90: die(""); 91: ) 92: )

Come puoi vedere, il controllo è piuttosto strano. Come minimo, la presenza di un elenco di estensioni vietate scritto direttamente nel codice crea confusione. E in generale, il fatto stesso che l'estensione sia ottenuta tagliando quattro caratteri dalla fine della riga (riga 85) è sconcertante. In generale, se proviamo a ricevere un file con estensione gif, png, jsp, css o js, ​​il server restituirà una pagina 404 e lo script interromperà l'esecuzione. Una volta superati tutti i controlli, il metodo getRoute della classe vB_Api_Route viene chiamato utilizzando callApi. Cerca percorsi adatti in base alle informazioni fornite dall'utente.

La continuazione è disponibile solo per i membri

Opzione 1. Unisciti alla community del "sito" per leggere tutti i materiali sul sito

L'iscrizione alla community entro il periodo specificato ti darà accesso a TUTTI i materiali Hacker, aumenterà il tuo sconto cumulativo personale e ti consentirà di accumulare una valutazione Xakep Score professionale!

Principali vantaggi:

• Framework di database veloce ed efficiente
• Interfaccia composta da modelli
• Potente motore di ricerca
• Supporto multilingue
• Profili utente
• Pannello di amministrazione potente e conveniente
• Numero illimitato di sezioni/argomenti/messaggi
• Notifiche tramite e-mail
• Il sostegno del COPPA

Dato che il produttore non fornisce una demo del forum che possa essere installata, ho dovuto installare la versione di sinistra, scaricata da alcuni Vareznik. Pertanto le istruzioni potrebbero non corrispondere completamente al processo di installazione del forum sulle licenze. Dopo l'installazione, il sito è stato cancellato e non è stato utilizzato per lo scopo previsto.

Per installare vBulletin, vai al pannello di controllo dell'hosting (il pulsante con un ingranaggio accanto all'ordine di hosting nella fatturazione), lì nel "File Manager", in esso andiamo alla directory "www". Fare clic sul pulsante "Carica file nella directory corrente":

Specifica il percorso del file sul tuo computer:

Seleziona l'archivio con vBulletin e decomprimilo:

Eliminiamo i file e le directory che non ci servono, inclusa la directory del nostro dominio www, a condizione che tu non abbia nulla di cui hai bisogno lì. Se non lo metti nella radice del sito, o c'è qualcosa di necessario nella directory del sito, non è necessario eliminare la directory del dominio www:

Seleziona la directory con il programma di installazione di vBulletin e rinominala:

Inserisci il nome del nostro sito come nome della directory:

Vai alla sezione "Database" del pannello di controllo dell'hosting:

Creazione di un nuovo database Dati MySQL e utente, con pieni diritti accedervi:

Tieni presente che sia l'utente che il database ricevono automaticamente un prefisso basato sul nome del tuo account sul server di hosting:

Andiamo a pagina iniziale il nostro sito, otteniamo il seguente errore vBulletin:

Inseriamo il percorso del programma di installazione nella barra degli indirizzi, aggiungiamo "install/install.php", dopodiché si avvia il programma di installazione del forum vBulletin:

Il programma di installazione di vBulletin verifica la presenza dei seguenti file:

Il passaggio successivo è verificare la connessione al database, non passa, perché... Il file di configurazione del forum contiene dati errati:

Torniamo al pannello di controllo dell'hosting, gestore di file, vai alla directory con il forum, quindi alla sottodirectory “include”. Apri il file "config.php":

Inseriamo i dati corretti dal database in file di configurazione, dopodiché lo chiudiamo:

Torniamo al sito, all'installatore. premi “F5”, questa volta va tutto bene, la connessione al database è cresciuta insieme:

Il programma di installazione di vBulletin crea tabelle nel database:

Il programma di installazione di vBulletin modifica i tipi di alcune tabelle:

I dati vengono inseriti nel database:

Lingue importate:

Gli stili vengono importati:

La guida viene importata:

Non tocchiamo le impostazioni predefinite; il programma di installazione di vBulletin ha determinato tutto correttamente:

Le impostazioni predefinite vengono importate:

Inserisci i dettagli dell'amministratore di vBulletin:

L'amministratore vBulletin è stato aggiunto con successo:

L'installazione di vBulletin sull'hosting è stata completata con successo:

Seguente ultimo consiglio programma di installazione, rimuovere i file non necessari:

Puoi andare al forum vBulletin per assicurarti che tutto funzioni correttamente:

Seleziona il motore del forum. IPB, vBulletin, Phpbb

Un motore del forum è una cosa necessaria per un sito serio. Il principio è noto: qualsiasi sito web deve essere interattivo. Esistono molti modi per ottenere l'interattività, dai commenti agli articoli fino alla propria tematica rete sociale. Il forum è forse lo strumento più universale per davvero feedback con i visitatori.

Il forum ti consente di:

Crea un pubblico permanente di utenti del sito che torneranno costantemente e saranno attivi. L'attività dei visitatori è denaro reale.

Risparmiare sui contenuti. Se crei un forum, il contenuto verrà creato dagli utenti e il proprietario non dovrà effettuare l'acquisto grandi quantità testi per la promozione.

Ampliare il nucleo semantico del sito. La creazione di un forum consente, senza troppi sforzi da parte del proprietario, di ampliare il numero di richieste per le quali il sito viene promosso.

L'installazione del motore del forum è un processo semplice, ma la configurazione e l'ulteriore amministrazione possono causare molte difficoltà a un principiante. Tuttavia, per ogni motore popolare esiste un'enorme quantità di documentazione, quindi se lo desideri puoi capire tutto. Oppure assumi un amministratore professionista.

Nel complesso, la stragrande maggioranza dei motori è abbastanza adatta per il normale funzionamento del forum, hanno approssimativamente lo stesso insieme di funzioni di base, incluso un sistema flessibile per l'impostazione dei diritti di accesso per gli utenti. Si distinguono per facilità di amministrazione, una serie di modelli e plugin, affidabilità e supporto tecnico dal produttore. Inizierò la recensione con i primi tre su Runet: Phpbb è forse il motore più popolare per creare un forum su Runet. Per un principiante, il vantaggio principale di Phpbb è che sia il motore del forum stesso che tutti i tipi di componenti aggiuntivi sono gratuiti. Esistono anche molte diverse comunità di fan di Phpbb, sia su Internet di lingua russa che su Internet straniera.

Altri vantaggi includono velocità di funzionamento, semplicità e relativa flessibilità delle impostazioni, un gran numero di modelli e componenti aggiuntivi. Se crei un forum in phpbb, allora può essere utilizzato come parte del sito (c'è la possibilità di integrazione con molti cms), ma puoi anche creare un portale più o meno completo basato su di esso.

Ma Phpbb ha anche uno svantaggio: è altamente vulnerabile sia agli attacchi di spam che agli attacchi di hacking con l'introduzione del proprio codice. Per evitare ciò, è necessario installare componenti aggiuntivi speciali per proteggersi dallo spam e aggiornare regolarmente il motore installando nuove versioni. Purtroppo, questo non fornisce sempre una protezione al 100%, quindi dovrai monitorarlo manualmente tu stesso o nominando dei moderatori. Puoi scaricarlo dal sito ufficiale https://www.phpbb.com/

IPB (Invision Power Board) è un motore di forum a pagamento, che spaventa immediatamente la maggior parte dei principianti. Tuttavia, se il progetto deve essere serio, difficilmente un importo di circa $ 200 per un IPB fermerà un webmaster determinato. Ma pensa dieci volte se sei pronto, anche per il bene di una gamma molto ampia di possibilità, a rifare costantemente il motore IPB per te stesso, con il rischio di complicarti il ​​supporto e gli aggiornamenti.

Il sistema ha un numero enorme di possibilità di integrazione con servizi diversi– vari cms, blog, chat, gallerie fotografiche, ecc. Forse un portale su questo motore può essere considerato un sito web a tutti gli effetti, ovviamente, con determinate impostazioni.

E qui c'è un neo significativo: il motore IPB viene aggiornato abbastanza raramente, gli utenti stessi fungono da tester, che trovano essi stessi vulnerabilità ed errori. In ogni caso, il codice finisce per essere “storto” e non ottimale. Non esistono comunità di tifosi russi di alta qualità, tutti i problemi dovranno essere risolti in modo indipendente. Anche le localizzazioni russe sono tutt'altro che perfette; spesso i file di lingua devono essere modificati per la normale visualizzazione.

A causa della complessità e dell'inesattezza del codice, i forum su IPB vengono visualizzati correttamente solo in FireFox; in altri browser potrebbero verificarsi piccoli problemi;

Potrebbero esserci problemi anche durante l'aggiornamento dalla seconda alla terza versione: la struttura delle skin e delle classi è cambiata e se il forum è stato modificato, l'aggiornamento sarà problematico.

Il sistema dei modelli IPB è estremamente confuso, cambia aspetto non è così semplice, dovrai “spostare” molti file. Il design standard non è male ed è abbastanza familiare, ma è standard e questo, di per sé, può rappresentare uno svantaggio significativo per molti. Puoi scaricare Invision Power Board dal sito ufficiale http://www.invisionpower.com/apps/board/
vBulletin (vb). IN Segmento di lingua russa Il vBulletin su Internet è tradizionalmente chiamato “vobla” o “bun”. Questo è probabilmente miglior motore forum, non c'è altro da aggiungere. Il prezzo è di circa 250 dollari (la licenza viene acquistata per un anno e comprende aggiornamenti gratuiti durante questo periodo) è completamente giustificato e sicuramente si ripagherà risparmiando tempo e nervi. Tutto qui funziona come un orologio. È abbastanza chiaro il motivo per cui vengono presi i soldi: il motore vBulletin viene costantemente migliorato ed è chiaro che ci stanno lavorando programmatori professionisti, e non solo fan.

Non ha senso elencare tutte le funzioni: esso (o i componenti aggiuntivi) implementa quasi tutto ciò di cui un amministratore potrebbe aver bisogno per creare un forum. Sono disponibili citazioni multiple, supporto per podcasting e comunità di utenti e gruppi sociali, un sistema di reputazione flessibile e molto altro ancora.

Naturalmente, vBulletin ha un gran numero di componenti aggiuntivi e comunità di utenti, quindi non ci saranno problemi con la manutenzione, soprattutto perché esiste un team di supporto ufficiale. Lo svantaggio di vBulletin, anche se non molto grande, sono le aggiunte a pagamento, ad esempio, per i blog degli utenti.

Nel complesso, il forum non ha difetti. Può essere consigliato per progetti grandi e seri proprio per la sua affidabilità e resistenza a tutti i tipi di attacchi. Di conseguenza, crea un carico significativo sul server, soprattutto con i componenti aggiuntivi installati, ma per progetti seri di solito vengono utilizzati server seri e amministratori seri. Puoi scaricarlo dal sito ufficiale http://www.vbulletin.com/

SMF (Forum Macchine Semplici). Un motore semplice che qualsiasi principiante può gestire. La semplicità è compensata dalla mancanza di funzionalità, ma non tutti necessitano di un set completo di funzionalità. L'installazione dei plugin (mod) è comodamente organizzata nel motore e possono essere scaricati e installati direttamente dal pannello di amministrazione in pochi clic;

Il pannello di amministrazione è un po' insolito, ma per un principiante questo non è uno svantaggio, perché non ha esperienza o abitudine con altri motori. La non familiarità non significa disagio. Un altro vantaggio è la presenza elevato numero convertitori per il passaggio da altri motori.

Il forum è molto affidabile in termini di hacking e spam... beh, lo spam è un problema eterno che necessita e può essere combattuto. Nonostante SMF sia gratuito, sviluppatori e utenti esperti forniscono assistenza a tutti coloro che ne hanno bisogno sul forum ufficiale del progetto.

Sulla base di questo motore, puoi anche creare siti Web completi utilizzando componenti aggiuntivi speciali per portali (Adk Portal, EzPortal, ecc.). Tuttavia, la grande domanda è se valga la pena creare un portale basato su un forum. È più logico creare un forum in aggiunta al sito principale su un motore a tutti gli effetti.

Consiglio dell'Intelletto (IntBoard). Un motore di forum per i fan, scritto da un fan e abbandonato con successo da lui. Tuttavia, l'abbandono non è un motivo per sconsigliarlo categoricamente.

Parliamo subito delle carenze. I problemi spesso sorgono all'improvviso, non c'è un grande supporto, il forum ufficiale è praticamente morto e i proprietari dei forum su questo motore raramente rispondono lì. Non ci sono praticamente componenti aggiuntivi o modelli: devi fare tutto da solo.

Ma ci sono anche dei vantaggi. Il codice del motore è abbastanza semplice da consentire anche a un principiante di capirlo e risolvere da solo alcuni problemi, oltre a regolare autonomamente alcune funzioni. Il motore è molto leggero e crea poco carico sul server. Il pannello di amministrazione è estremamente non standard, ma offre forse la migliore opportunità per configurare i diritti per gli utenti; un sistema di gruppi e diritti di accesso a ciascuna sezione specifica ti consentirà di creare un sistema di moderazione potente ed efficace.

PunBB. Semplice facile un motore con una comunità abbastanza potente che aiuterà a risolvere i problemi emergenti. Poco impegnativo per le risorse del server. Il pannello amministrativo è intuitivo.

Layout realizzato con aiuto css, quindi i principianti abituati al layout delle tabelle troveranno insolito modificare i modelli. Tuttavia, questo è anche un vantaggio: è tempo di padroneggiare le tecnologie moderne.

Uno svantaggio serio è l'elevata disponibilità per lo spam: è necessario monitorarlo manualmente, oltre ai plugin installati.

ExBB è un motore gratuito, la cui particolarità è che funziona con database di testo senza utilizzare MySQL. Forse 10 anni fa questo era un vantaggio: tali siti creavano meno carico e l'hosting con supporto database era molto più costoso. Al giorno d'oggi qualsiasi hosting supporta MySQL e i database di testo rappresentano uno svantaggio; sono molto più lenti e meno affidabili.

Tuttavia, puoi creare un forum utilizzando questo cms per un sito di piccole dimensioni dove non è previsto un grande afflusso di visitatori e messaggi. È facile da installare, facile da mantenere e ha un gran numero di utenti e un forum di supporto sul sito ufficiale.

Vanilla – questo motore poco conosciuto si posiziona come aggiunta a Wordpress, uno dei cms più popolari. Tra caratteristiche standard WordPress non ha la capacità di creare un forum. Naturalmente puoi adattare qualsiasi motore di forum, ma non è così facile. Vanilla viene installato come un normale plugin.

Il sistema dei messaggi personali è implementato in modo insolito: vengono pubblicati come argomenti normali, ma sono visibili solo a coloro a cui sono indirizzati. In qualsiasi topic, oltre a quello pubblico, puoi lasciare un messaggio privato. Insolito, ma abbastanza conveniente. In generale, sembra che gli sviluppatori abbiano deciso di creare un forum diverso da tutti gli altri. Sta a te decidere se questo sia un vantaggio o un svantaggio.

In generale, ci sono molti motori: puoi provare, puoi accontentarti immediatamente di qualcosa di popolare, puoi persino scrivere o ordinare qualcosa di tuo. È impossibile dire in modo inequivocabile quale opzione sarà ottimale per ciascun caso specifico.

L'amministrazione di tali servizi di solito non è responsabile di nulla, quindi se il tuo forum scompare in un momento meraviglioso, nella migliore delle ipotesi si scuseranno.

Nel prossimo articolo vi racconterò quali sono

Solo a scopo informativo. L'amministrazione non è responsabile del suo contenuto. Scarica gratis .

vBulletin Connect v5.3.3 è un pacchetto forum potente, scalabile e completamente personalizzabile per il tuo sito web.

Versione: 5.3.3 (Annullato da vBSupport.org)

Requisiti minimi php 5.6
Compatibile con PHP 7.1
A nuova installazioneè necessario rinominare il file htaccess.txt in .htaccess
Durante l'aggiornamento, eliminare la cartella dei caratteri (prima di avviare l'aggiornamento).

Nuove opportunità:
Nuova interfaccia utente con ampia integrazione social;
Ottimizzato per dispositivi mobili;
Installazione, gestione e configurazione semplificate;
Nuova architettura del database per una migliore ricerca e migliori prestazioni;
Comodo cambio di contenuto dinamico;
Avanzato per la condivisione di video e immagini;
Piena integrazione con VigLink;
Più di 100 altre nuove funzionalità e miglioramenti;

Applicazioni integrate:
Forum di discussione
Gruppi
Sondaggi
Blog

Ottimizzazione del motore di ricerca:
URL ottimizzati per la SEO
META tag parola chiave/descrizione personalizzata

Flessibilità:
Profili utente estensibili
Riscrittura dell'URL
Localizzazione dell'interfaccia
Metadati

Conformità agli standard:
Distribuzione dei contenuti (RSS)
Distribuzione dei contenuti: RSS, Atom, XML
Compatibile con PHP v5.4

Sistema integrato senza interruzioni:
L'unico login coinvolto
Sistema di risoluzione unica
L'unico pannello di controllo amministrativo
Crea uno stile/tema continuo attraverso articoli, blog, forum

Dashboard per ciascun ruolo:
Controlli amministrativi
Pannello di controllo del moderatore
Pannello di controllo personalizzato
Sistema di risoluzione unificato
Motore di modelli Power per personalizzazione avanzata

Controllo utente:
Sistema multiutente con ruoli e poteri illimitati
Gruppi coinvolti
Sicurezza
Poteri granulari
Notifica del problema
SSL compatibile
Captcha
Conferma dell'indirizzo e-mail
Pannello di controllo dell'editor delle notizie dell'amministratore
Sistema di accesso "sciopero".
Le modifiche all'e-mail e alla password richiedono la password corrente
Conforme al Children's Online Privacy Protection Act (COPPA) del 1998

1. Vai al pannello di controllo amministratore:
Lingue e frasi: scarica/carica lingue.
2. Nel campo "Carica il file XML dal tuo computer", inserisci il percorso di
il file vbulletin-lingual_ru.xml sul tuo computer.
3. Nell'opzione "Sovrascrivi lingua", seleziona "Crea nuova lingua"
4. Nel campo "Titolo per la lingua caricata", inserisci il nome della lingua.
Se non sono stati inseriti dati, la lingua verrà chiamata "Russo (RU)"
5. Imposta "Sì" su "Ignora versione linguistica"
6. Imposta "Sì" su "Leggi set di caratteri da file XML"
7. Fare clic sul pulsante "Importa" e attendere il completamento del processo di download.
7A Se lo desideri, puoi farlo Nuova lingua"Lingua di default
facendo clic sul pulsante "Default" / "Valore predefinito" accanto ad esso.