Būtinas saugumo pataisymas
Parašė ozzWANTED 2006 rugsėjo 26 20:09:33
Jeigu kas esate instaliavę "button_panel" modą savo saite, būtinai turite ištaisyti:
Daug kam kilo klausimas per kur nulauždavo v6.01.5 - tai va - atsakau - bent už trečdalį nulaužimų yra atsakingas šis bugas.
Taigi atsidarote "/infusions/button_panel/button.php" failą, ir jo pradžioje susirandate šią eilutę:
if (isset($button_id)) {
Ir kuo skubiau ją keičiate į šią eilutę:
if (isset($button_id) && isNum($button_id)) {
Beto saugumo patarimas v6.01.5 atžvilgiu - norėdami turėti kone visiškai saugų saitą, panaikinkite jame bet kokias vartotojo galimybės uploadinti failus - taip jis jums sugrūdą shell'ą ir jūs pakratote kojas. Taigi patarčiau panaikinti šias funkcijas
"foto_pateikimas"
"vartotojo_avataras"
"failų_prisegimas_forume"
ir ištrinti bet kokiu failų uploadinimo modus iš savo saito.
Taip pat panaikinti iš serverio šiuos failus "custom_pages.php", "panel_editor.php", ir "database_backup.php" - kai jums šių failų prireiks trumpam, galėsite juos įsimesti, bet po to vėl ištrinkite.
Default fusionas + galimybių uploadinti failus panaikinimas, default tema, jokių papildomų modų, bei ištrinti "pavojingi" failai, sumažina įsilaužimo į naujausią Php-Fusion versiją galimybės iki vos 3%(palyginimui - įsilauti į defaultinę naujausią phpBB versiją, galimybės yra apytiksliai lygios 1,5%, su papildomai saugumo papildymais - ~ 0,5%).
Pagal @ozzWANTED,
Pagal @Digitanium