Современный облачный хостинг провайдер | Aéza
Контакты ООО "АЕЗА ГРУПП" ИНН 2312304914 ОГРН 1212300056430

XF 1.5 Шелл через вложения

lazerhead

lazerhead

Проверенные
Сообщения
321
Реакции
119
Баллы
5,540
Если разрешить пользователям загрузку вложений, могут ли таким образом залить в картинке бяку? Или Xenforo от такого защищен?

Я это почему спрашиваю. Хочу многие внешние картинки скачать в аттачи. Вот и думаю, безопасно ли? Как-нибудь их проверить можно, например, вирустоталом или чем-то подобным?

О! Погодите-ка! А ведь можно просто включить проксирование изображений, выставить все по нулям, и продолжать не пользоваться аттачами? (хотел скачать все в аттачи только для того, чтобы избежать битых картинок, например, когда фотохостинг дохнет). И в таком случае все проксированные картинки гарантированно будут храниться на сервере вечно?
 
Последнее редактирование:
Сортировка по дате Сортировка по голосам
.XenForo не хранит вложения с их расширениями. Да и в картинку загрузить какую-то бяку, которую можно будет использовать как шелл точно нельзя.

А проксирование наоборот менее безопасно, потому что палит IP сервера =)
 
Позитивный голос 0 Негативный голос
Зависит от наличия дыр в XF. Или плагинах.
И если первый поддерживают крутые парни (но это не панацея, ведь на старуху бывает порнуха), то плагины любителей не только случайно могут содержать бэкдор, но и специально.
Продавался когда-то 0-day на тему, ошибка позволяла... запустить содержимое вложения. Давно было.
Так что шелл в вложении может быть, но с таким же успехом может прилететь в адресной строке, куках, полях и с небес.
 
Позитивный голос 0 Негативный голос
lazerhead написал(а):
Если разрешить пользователям загрузку вложений, могут ли таким образом залить в картинке бяку? Или Xenforo от такого защищен?

Я это почему спрашиваю. Хочу многие внешние картинки скачать в аттачи. Вот и думаю, безопасно ли? Как-нибудь их проверить можно, например, вирустоталом или чем-то подобным?

О! Погодите-ка! А ведь можно просто включить проксирование изображений, выставить все по нулям, и продолжать не пользоваться аттачами? (хотел скачать все в аттачи только для того, чтобы избежать битых картинок, например, когда фотохостинг дохнет). И в таком случае все проксированные картинки гарантированно будут храниться на сервере вечно?
Нажмите для раскрытия...
Ага, шеллы, ещё что придумайте, мы же тут от нечего делать просим загружать вложениями, так как хотим шеллы словить.
Не было на ксен 0-day по загрузке и выполнению шелла, было дополнение с умышленно оставленным бекдором, которое и позволяло всё это провернуть.
 
Позитивный голос 0 Негативный голос
Войдите или зарегистрируйтесь для ответа.
Современный облачный хостинг провайдер | Aéza
Контакты
ООО "АЕЗА ГРУПП" ИНН 2312304914 ОГРН 1212300056430 г. Краснодар, ул. Маяковского 160, офис 2.4
Назад
Сверху Снизу