(11-11-2014, Saat:18:51)Machine Adlı Kullanıcıdan Alıntı: Merhaba,
Bahsi geçen XSS açığı, kapatıldı arkadaşlar. Eğer kodları incelediyseniz eğer, tids=1 değerini görmektesiniz ve subject yazan kısımda ise yoruma ne yazılacağı belirtilmiş. Yani id 1 olan bir konu yok ise kod fıstır veya istediğiniz kadar id yazın oraya eğer mybb güvenlik önlemlerinden id tagını kaldırmayı ve seo kurulumunu yaptıysanız kod boşa çıkacaktır.
1 - Sitenize üye olmayan birisi bu sözde açıktan sisteme giremez, mybb'nin giriş yap hatasını alır.
2- Sisteme üye oldu, bu sadece yorum yapar arkadaşlar başka birşey yapmaz sisteminizde.
XSS 'den birinin sisteme girebilmesi için html izninin verilmiş olması gerekir. %90'nızın forumundada html izni kapalı geliyor ve hatta 1.8 sürümünde filtre sistemi getirilerek xss açığını yine duvara toslamasını sağlanmıştır.
Spam sistemi ve filtreleme sistemi çok daha detaylandırıldı artık mybb'de öyle ufak kod ile hacklenebilecek bir sistem değil artık mybb. Siz sunucunuzdan korkun sisteminizden değil. Eğer sunucunuzda açık var ise çok rahat sisteminize gireceklerdir ama sunucunuz sağlamsa ve mybb'nin gerekli güvenlik önlemlerini aldıysanız sıkıntı yok devam edin.
Ayrıca,
Raporu Gönder
Bu İçeriği Yöneticilere Rapor Et
Bu içerik ya mevcut değil ya da rapor edilmesi mümkün değil.
bu hatayı vermesinin sebebi şablonlara bağlı olmasından kaynakldıır. Report.php dosyası şablonlarla çalışmaktadır yani şablonsuz açarsanız boş yazıdan başka birşey değildir. Bir konuya girip rapor et dediğiniz popup olarak bu seçenekler çıkacaktır ve rapor edeceğiniz mesaj yok ise bu içerik mevcut değildir diyecektir.
Eğer var ise rapor nedenini soracaktır. Siz report.php dosyasına hiçbir yorum id ve url'si bildirmezsiniz haliyle sistem diyecek ki böyle bir konu yok arkadaşım ne yapmamı bekliyorsun diyecektir size bu bir açık değildir,sistemin getirdiği sorgudur.
(10-11-2014, Saat:13:47)Hashtag Adlı Kullanıcıdan Alıntı: Yani siteadi.com/report.php girildiğinde:yazıyorsa xss var,Kod:
Raporu Gönder
Bu İçeriği Yöneticilere Rapor Et
Bu içerik ya mevcut değil ya da rapor edilmesi mümkün değil.
yazıyorsa xss yok.Kod:
Belirtilen Yorum Forumumuzda Mevcut Değil.
nasıl kapatabilirim şimdiden yardımnız için teşekkürler.
İki cümleye iyice bakın, aynı şeyi söylemektedeler. Bu içerik mevcut değil ! Lütfen biraz mantık yürütün. 2 gün bu bahsi geçen açığı yokladım fakat elimde kalan sadece report.php dosyası oldu
Bahsettiğiniz iki durum farklı olmasının sebebi çeviri değişikliğidir. Bir önceki sürümle bir sonra ki sürümde dil dosyaları haliyle değişmiştir. Farkettiyseniz biz 1.8 sürümünde A'dan Z'ye dil dosyalarını komple değiştirdik ve sağlam,düzgün bir Türkçe kullanımı yaptık.
#Ayrıca mybb.com ekibinide bu durumu bildirdim ve ilgileneceklerini söylediler. Kolay gelsin,iyi forumlar.
yani korkulacak bir durum yok öyle mi ayrıca benim sistem mi bozuk genel bir hata mı var bilemedim A kategorisinin izinler ayarından üye grubuna yeni yorumları moderasyona al diyip izinleri kaydediyorum ama tekrar baktığımda o özellik aktif olmamış görünüyor :/