Аль форум нь илүү дээр вэ vBulletin эсвэл PunBB. Аль форум нь илүү дээр вэ vBulletin эсвэл PunBB Clumsy vbulletin
- Хэнээс:
- Бүртгэгдсэн: 2014.07.07
- Бичлэгүүд: 3,825
- Би зүгээр л PunBB-д дуртай:
- 5 жил, 8 сар, 20 өдрүүд,
- Таалагдсан: 480
Сэдэв: Аль форум нь илүү дээр вэ vBulletin эсвэл PunBB
VBulletin (Vobla эсвэл Bulka гэж бидний нэрлэх дуртай) нь PHP болон MySQL технологи ашиглан бичигдсэн хамгийн эртний арилжааны форумын хөдөлгүүрүүдийн нэг юм. 2000 онд анхны хувилбараа гаргаснаас хойш үйл ажиллагааг сайжруулах чиглэлээр асар их ажил хийгдсэн нь VB-д програм хангамжийн шилдэг бүтээгдэхүүний жагсаалтад орох боломжийг олгосон.
VBulletin лиценз нь танд ойролцоогоор 250 долларын үнэтэй болно. Бүү эргэлз, энэ бол бүрэн үндэслэлтэй хог хаягдал бөгөөд ажлын цаг, мэдрэлийн эсийг хэмнэх замаар өөрийгөө төлөх нь дамжиггүй. Энэ мөнгөний ихэнх хэсэг нь хөгжүүлэгчид болон программистуудад ногддог бөгөөд тэд дараа нь функцийг сайжруулах, засварууд болон нэмэлтүүдийг гаргахад ашиглах болно (тиймээ, жилийн туршид бүх шинэчлэлтүүдийг танд үнэ төлбөргүй хүргэх болно).
2 Хариулах PunBB
- Хэнээс: Москва, Совхознай 3, байр. 98
- Бүртгэгдсэн: 2014.07.07
- Бичлэгүүд: 3,825
- Би зүгээр л PunBB-д дуртай:
- 5 жил, 8 сар, 20 өдрүүд,
- Таалагдсан: 480
VBulletin-ийн бүх функцийг тоолох нь утгагүй юм. Тэд форумын администраторуудад хэрэгтэй байж болох бараг бүх зүйлийг хэрэгжүүлсэн. Подкастинг, олон ишлэлийг дэмжих, нийгмийн бүлэг, нийгэмлэгт хуваах, үнэлгээний систем (нэр хүнд). Үндсэн багцыг гуравдагч этгээдийн өргөтгөлөөр нэмж болно.
VBulletin форумын хөдөлгүүр нь сервер дээр ноцтой ачаалал үүсгэдэг, ялангуяа гуравдагч талын нэмэлтүүд болон скриптүүдийг суулгасан тохиолдолд. Ирээдүйд хуудсуудыг ачаалахтай холбоотой асуудал гарахаас зайлсхийхийн тулд та ердийн хостинг авахаас татгалзах хэрэгтэй болно. Ялангуяа та ирээдүйд нөөцдөө их хэмжээний урсгалыг урьдчилан таамаглаж байгаа бол.
3 Хариулах PunBB
- Хэнээс: Москва, Совхознай 3, байр. 98
- Бүртгэгдсэн: 2014.07.07
- Бичлэгүүд: 3,825
- Би зүгээр л PunBB-д дуртай:
- 5 жил, 8 сар, 20 өдрүүд,
- Таалагдсан: 480
Re: Аль форум нь илүү дээр вэ vBulletin эсвэл PunBB
VBulletin нь хакердах, спам роботуудад маш их тэсвэртэй тул томоохон, ноцтой төслүүдэд ашиглахыг зөвлөж байна. Нэмж дурдахад өгөгдмөл тохиргоо болон тохиргооны файлуудыг өөрийн үзэмжээр хялбархан өөрчилж, илүү их үр дүнд хүрэх боломжтой. Интернет дээр гар урчуудын олон заавар, гарын авлага байдаг, гэхдээ бүгдэд нь итгэх ёсгүй.
VBulletin, том хэмжээний санааг хамгийн сайн аргаар хэрэгжүүлдэг. Тогтмол шинэчлэлтүүд, өндөр чанартай үйлчилгээ, нэмэлт өргөтгөлүүд, найдвартай хамгаалалтын механизмууд - энэ бүхэн нь бүтээгдэхүүнд зарцуулсан мөнгийг бүрэн зөвтгөдөг.
4 Хариулах PunBB
- Хэнээс: Москва, Совхознай 3, байр. 98
- Бүртгэгдсэн: 2014.07.07
- Бичлэгүүд: 3,825
- Би зүгээр л PunBB-д дуртай:
- 5 жил, 8 сар, 20 өдрүүд,
- Таалагдсан: 480
Re: Аль форум нь илүү дээр вэ vBulletin эсвэл PunBB
Бүх функцуудыг жагсаах нь утгагүй юм - энэ нь (эсвэл нэмэлтээр) администраторын форум үүсгэхэд шаардлагатай бараг бүх зүйлийг хэрэгжүүлдэг. Мөн олон ишлэл, подкаст, хэрэглэгчийн нийгэмлэг, нийгмийн бүлгүүдийг дэмжих, нэр хүндийн уян хатан систем гэх мэт олон зүйл бий.
Мэдээжийн хэрэг, vBulletin нь олон тооны нэмэлтүүд болон хэрэглэгчдийн нийгэмлэгтэй тул засвар үйлчилгээ хийхэд ямар ч асуудал гарахгүй, ялангуяа албан ёсны дэмжлэг үзүүлэх үйлчилгээ байдаг. VBulletin-ийн сул тал нь тийм ч том биш ч гэсэн, жишээ нь хэрэглэгчийн блогт зориулсан төлбөртэй нэмэлтүүд юм.
Ерөнхийдөө форумд ямар ч дутагдал байхгүй. Энэ нь найдвартай, бүх төрлийн дайралтанд тэсвэртэй тул томоохон ноцтой төслүүдэд санал болгож болно. Үүний үр дүнд энэ нь сервер дээр ихээхэн ачааллыг бий болгодог, ялангуяа нэмэлтүүд суулгасан боловч ноцтой төслүүдийн хувьд ноцтой серверүүд болон ноцтой администраторуудыг ихэвчлэн ашигладаг.
Гол давуу талууд:
- Хурдан бөгөөд үр ашигтай мэдээллийн санд суурилсан
- Загварын интерфейс
- Хүчирхэг хайлтын систем
- Олон хэлний дэмжлэг
- Хэрэглэгчийн профайл
- Хүчирхэг, хэрэглэгчдэд ээлтэй админ самбар
- Хязгааргүй тооны хэсэг/сэдэв/мессеж
- Имэйл мэдэгдэл
- COPPA дэмжлэг
Үйлдвэрлэгч нь суулгаж болох форумын демо хувилбарыг өгдөггүй тул би зарим төрлийн програмаас татаж авсан зүүн хувилбарыг суулгах шаардлагатай болсон. Тиймээс заавар нь лицензтэй форумыг суулгах үйл явцтай яг таарахгүй байж магадгүй юм. Суулгацын дараа сайтыг устгасан бөгөөд зориулалтын дагуу ашиглаагүй.
vBulletin-ийг суулгахын тулд хостингын хяналтын самбар руу очно уу (төлбөр дэх байршуулах захиалгын хажууд байрлах араатай товчлуур), "Файл менежер" рүү очиж "www" лавлах руу очно уу. "Одоогийн лавлах руу файл байршуулах" товчийг дарна уу:
Компьютер дээрх файлын замыг зааж өгнө үү:
vBulletin ашиглан архивыг сонгоод задлаарай:
Танд хэрэгтэй зүйл байхгүй тохиолдолд бид www домэйны лавлах зэрэг шаардлагагүй файлууд болон сангуудыг устгадаг. Хэрэв та үүнийг сайтын үндсэн хэсэгт оруулаагүй эсвэл сайтын лавлахад шаардлагатай зүйл байвал домэйны www лавлахыг устгах шаардлагагүй болно.
vBulletin суулгагчтай лавлахыг сонгоод нэрийг нь өөрчил:
Манай сайтын нэрийг лавлахын нэр болгон оруулна уу:
Хостинг хянах самбарын "Мэдээллийн сан" хэсэгт очно уу:
Шинэ MySQL мэдээллийн сан болон түүнд хандах бүрэн эрхтэй хэрэглэгч үүсгэнэ үү:
Хэрэглэгч болон мэдээллийн бааз хоёулаа хостинг сервер дээр таны дансны нэрээр автоматаар угтдаг болохыг анхаарна уу.
Бид сайтынхаа үндсэн хуудас руу ороход дараах vBulletin алдаа гарч ирнэ.
Бид хаягийн талбарт суулгагч руу явах замаар явж байгаа тул та "install / install.php" нэмэх хэрэгтэй бөгөөд үүний дараа vBulletin форум суулгах програмыг эхлүүлнэ.
vBulletin суулгагч нь дараах файлуудыг шалгадаг.
Дараагийн алхам бол мэдээллийн баазын холболтыг шалгах явдал юм, энэ нь дамжуулдаггүй - учир нь Форумын тохиргооны файлд буруу өгөгдөл оруулсан:
Бид хостингын хяналтын самбар, файлын менежер рүү буцаж, форумын лавлах руу очиж, дараа нь "дагах" дэд лавлах руу очно. "config.php" файлыг нээнэ үү:
Бид мэдээллийн сангаас зөв өгөгдлийг тохиргооны файлд оруулсны дараа үүнийг хаадаг.
Бид сайт руу, суулгагч руу буцаж ирдэг. "F5" товчийг дар, энэ удаад бүх зүйл хэвийн байна, суурьтай холболт хамтдаа өссөн:
vBulletin суулгагч нь мэдээллийн санд хүснэгт үүсгэдэг.
vBulletin суулгагч нь зарим хүснэгтийн төрлийг өөрчилдөг:
Өгөгдлийн санд өгөгдөл оруулах:
Импортолсон хэлүүд:
Загваруудыг импортолсон:
Тусламжийг импортолсон:
Бид анхдагч тохиргоонд хүрдэггүй, vBulletin суулгагч бүх зүйлийг зөв тодорхойлсон:
Өгөгдмөл тохиргоог импортолсон:
vBulletin администраторын дэлгэрэнгүй мэдээллийг оруулна уу:
vBulletin админ амжилттай нэмсэн:
Хостинг дээрх vBulletin суулгац амжилттай дууссан:
Суулгагчийн сүүлчийн зөвлөмжийг дагаж, шаардлагагүй файлуудыг устгана уу:
Та бүх зүйл зөв ажиллаж байгаа эсэхийг шалгахын тулд vBulletin форум руу орж болно:
Аливаа хөдөлгүүр нь илүү сайн, хурдан ажиллахын тулд түүнийг оновчтой болгохын тулд тодорхой үйлдлүүдийг шаарддаг. Манай тохиолдолд бид Vbulletin 4-ийн оновчлолын талаар ярих болно.
Манай форумын хөдөлгүүр байнга шинэчлэгдэж байдаг тул би Vbulletin-ийн өмнөх хувилбаруудыг оновчтой болгох талаар бичихгүй, харин 4.1.12 хувилбараас эхлэх болно. Хэдийгээр боломжтой ч хүн бүр шинэ хувилбар руу шилждэггүй тул би энэ нийтлэлийг өмнөх хувилбаруудын оновчлолоор аажмаар нэмж оруулах болно.
Энд би Vbulletin форумыг илүү хурдан, илүү сайн болгохын тулд хэдэн жишээ өгөх болно (хамгийн энгийн зүйлээс эхлээд илүү төвөгтэй зүйл рүү шилжих). Надад тохирох зүйлс танд тохирох албагүй гэдгийг санаарай. Тиймээс та бүх өөрчлөлтийг өөрийн эрсдэл, эрсдэлд оруулдаг.
Хэрэглэгчийн жагсаалтыг идэвхгүй болгох.
Хялбар арга бий, зүгээр л AdminCP дээрх функцийг идэвхгүй болго. (Тохиргоо -> Сонголт -> Хэрэглэгчийн жагсаалтын сонголтууд)
Энэ нь мэдээж дэлхий нийтийнх биш, та үүнийг алгасаж, хийхгүй байж болно, танд хэрэгтэй эсэхийг өөрөөсөө асуугаарай? Жагсаалттай болсноос хойш хэрэглэгчид үүнийг эрэмбэлэх, хэн илүү мессеж, нэр хүнд гэх мэтийг харах боломжтой. Танай хэрэглэгчид үүнийг ашиглаж байна уу? Магадгүй үгүй байх... Та өөрөө энэ жагсаалтыг хамгийн сүүлд хэзээ ашигласан бэ?
Миний хувьд эдгээр жагсаалтууд нь зөвхөн спам илгээгчдийн ашиг тусын тулд юм шиг санагдаж байна, учир нь энэ нь Vbulletin 4 форумын гишүүдийн бүх нэрийг хувийн зурваст спам илгээхийн тулд цуглуулах хамгийн хялбар арга юм.
Нэмж дурдахад, хэрэглэгчдийн жагсаалтыг гаргахад шаардагдах асуулга нь өгөгдлийн сангийн серверүүдэд аймшигтай бөгөөд сервер дээр ачаалал ихтэй байдаг.
Хувийн мессежийн жагсаалтыг боловсруулахад хурд нэмэгдэв.
Хэрэв та Импекс болон бусад хэрэгслээр гадны эх сурвалжаас хувийн мессеж импортолж байгаагүй бол хувийн мессежийг ID-аар нь ангилах боломжтой. ID-аар эрэмбэлэх нь таны мэдээллийн баазын сервер эрэмбэлэхийн тулд хувийн мессежийг түр зуурын хүснэгтэд оруулахгүй байх болно (асуултыг илүү хурдан болгодог).
Үүнийг хийхийн тулд та private_messagelist_filter-д байршил бүхий жижиг модулийг бичиж, түүнд дараах зүйлийг бичих хэрэгтэй.
Хэрэв ($sortfield == "pmtext.dateline") $sortfield = "pm.pmid";
Ингээд л та хувийн.php-г ~20% хурдан болгосон.
Бид хэрэглэгчийн хамгийн сүүлийн үеийн мессежийг илүү үр дүнтэй хайлтаар тохируулдаг.
Бид ftp руу орж, include / class_userprofile.php файлыг хайж, доторх өгөгдлийг дараах байдлаар орлуулж, хайх:
$getlastposts = $this->registry->db->query_read_slave(" SELECT thread.title, thread.threadid, thread.forumid, thread.postuserid, post.postid, post.dateline FROM " . TABLE_PREFIX . "Нийтлэлийг дотоод НЭГДСЭН " . TABLE_PREFIX . "thread AS thread AS UING (threadid) WHERE thread.visible = 1 AND post.userid = " . $this->userinfo["userid"] . " AND post.visible = 1 Post.dateline DESC-ээр ЗАХИАЛАХ. ХЯЗГААР 20");
мөн үүгээр солино (ялангуяа ЗАХИАЛГА):
$getlastposts = $this->registry->db->query_read_slave(" SELECT thread.title, thread.threadid, thread.forumid, thread.postuserid, post.postid, post.dateline FROM " . TABLE_PREFIX . "Нийтлэлийг дотоод НЭГДСЭН " . TABLE_PREFIX . "thread AS thread AS UING (threadid) WHERE thread.visible = 1 AND post.userid = " . $this->userinfo["userid"] . " AND post.visible = 1 post.postid DESC-ээр ЗАХИАЛАХ. ХЯЗГААР 20");
Энэ нь асуулгыг одоогийнхоос арай илүү зөв болгодог. Тиймээс та түр зуурын хүснэгтэд ангилах шаардлагагүй болно. 1000-аас дээш мессежтэй хэрэглэгчдийн хувьд эхний хүсэлт 10 секунд орчим, манай тохиолдолд хамаагүй бага байх болно. Энэ нь үндсэндээ хамгийн сүүлийн үеийн нийтлэлүүдийг харуулах Vbulletin 4 хэрэглэгчийн профайлд хамаарна.
Сэдвийн индекс шалгах.
Хэрэв таны форумууд үндсэн эрэмбэ дараалалтай бөгөөд дээр дурдсанчлан өөрчлөгдөөгүй бол таны бүх индексүүд хүснэгтэд байгаа эсэхийг шалгаарай. Надад үл мэдэгдэх шалтгаанаар индексүүд огтлолцсон, зарим форум нээгдээгүй тохиолдол байсан.
Миний санал болгож буй зүйл бол өгөгдмөл эрэмбийг огноо болгох явдал юм (энэ өгөгдлийг ашигладаг баганыг "огноо" гэж нэрлэдэг) бөгөөд үүнийг хэрэгжүүлэхийн тулд бид хайлтыг гүйцэтгэдэг:
ALTER TABLE thread ADD INDEX forumid2_dp(форумд, харагдахуйц, наалдамхай, огнооны шугам)
Энэ хүсэлт надад тусгайлан хамаатай бөгөөд таны тохиолдолд forumid2_dp таны нэр байх ёстой. Эрсдэлээ өөрөө үүрч ашиглаарай.
Нэмэлтүүдийг суулгахдаа болгоомжтой байгаарай.
Хэн нэгэн модуль, хакер хийдэг байна гэдэг нь зөвхөн танд зориулагдсан, том Vbulletin 4 форум дээр ажиллаж байсан, алдаа дутагдалгүй гэсэн үг биш юм. Маш сайн жишээ бол энэ эсвэл өөр хакераар дамжуулан их хэмжээний хакердсан тухай мэдээллүүд юм.
Мэдээжийн хэрэг, хөгжүүлэгчид бүх зүйлийг тооцоолж, бүх хакеруудыг зөрчилдүүлэхгүйн тулд хүрз хийж чадахгүй гэж үзэж болно, гэхдээ ... Vbulletin модуль нь мэдээллийн сангийн ачаалал ихтэй байгаа эсэхийг шалгаарай, хакердсан эсэхийг шалгаарай. SQL тарилга эсвэл XSS-ээс хамгаалах боломж. Харамсалтай нь, олон мянган програмууд, өөрчлөлтүүд байдаг бөгөөд бүгдийг шалгах нь бодитой биш юм. Бүх хакеруудыг өөрөө бичээд эсвэл хэн нэгнээс захиалаад байвал дээр байх. Ялангуяа танд болон таны даалгаварт зориулагдсан.
InnoDB дээр хүснэгтүүдийг бүү ашигла.
Энд мэдээжийн хэрэг, тэд миний нүүр рүү нулимж болно, учир нь энэ сэдэв аль хэдийн сая удаа яригдаж байсан, гэхдээ миний туршлагаас харахад би MyISAM хүснэгтүүд дээр ямар ч үйлдэл хийхэд 100% ажилладаг гэж хэлж болно. Заримдаа би секундэд 1000 хүсэлтийг боловсруулдаг.
Хэрэв та асуулга хийх үед, ялангуяа Vbulletin-ийн шинэ хайлтанд бүх зүйл хаана байна вэ гэж эргэлзэж эхэлж байгаа бол MyISAM дээрх InnoDB хүснэгтүүдийг өөрчил. MyISAM нь хувь хүний хүсэлтэд илүү хурдан хариу өгдөг, учир нь хувь хүний бүртгэл дээр түгжээг удирдах шаардлагагүй. InnoDB нь ерөнхийдөө илүү хурдан байдаг, гэхдээ энэ нь асуулга зэрэг ажиллах боломжийг олгодог. Хэрэв таны асуулга MyISAM дээр аль хэдийн хурдан ажиллаж байгаа бол InnoDB руу шилжих шаардлагагүй болно. IMHO.
Нийтлэлийн үнэлгээ
0%
Үнэлгээ
хэрэглэгчийн үнэлгээ: 0.35 (1 санал)
Зөвхөн мэдээллийн зорилгоор. Захиргаа түүний агуулгад хариуцлага хүлээхгүй. Үнэгүй татаж авах.
vBulletin Connect v5.3.3 нь таны вэбсайтад зориулсан хүчирхэг, өргөтгөх боломжтой, бүрэн өөрчлөх боломжтой форумын багц юм.
Хувилбар: 5.3.3 (vBSupport.org хүчингүй болгосон)
Хамгийн бага шаардлага php 5.6
Php 7.1-тэй нийцтэй байх
Шинэ суулгац дээр та htaccess.txt файлын нэрийг .htaccess болгож өөрчлөх хэрэгтэй
Шинэчлэхдээ үсгийн фолдерыг устгана уу (шинэчлэлтийг эхлүүлэхээс өмнө).
Шинэ боломжууд:
Нийгмийн өргөн хүрээтэй интеграцчилал бүхий шинэ UI;
Хөдөлгөөнт төхөөрөмжид тохирсон;
Хялбаршуулсан суурилуулалт, удирдлага, тохиргоо;
Хайлтыг сайжруулж, гүйцэтгэлийг сайжруулах шинэ мэдээллийн сангийн архитектур;
Тохиромжтой динамик агуулгын өөрчлөлт;
Видео болон зураг хуваалцахад зориулж өргөтгөсөн;
VigLink-тэй бүрэн нэгтгэх;
Бусад 100 гаруй шинэ боломж, сайжруулалт;
Суулгасан програмууд:
Хэлэлцүүлгийн форум
Бүлгүүд
Санал асуулга
Блог
Хайлтын системийг оновчтой болгох:
SEO-д ээлтэй URL-ууд
Тусгай түлхүүр үг/тайлбарын META шошго
Уян хатан байдал:
Өргөтгөх боломжтой хэрэглэгчийн профайл
URL дахин бичих
Интерфейсийн нутагшуулалт
мета өгөгдөл
Дагаж мөрдөх стандартууд:
Синдикат контент (RSS)
Агуулгын синдикат: RSS, Atom, XML
PHP v5.4 нийцтэй
Хагардаггүй нэгдсэн систем:
Ганц нэвтрэлт оролцоно
Зөвхөн зөвшөөрлийн систем
Цорын ганц админ хяналтын самбар
Нийтлэл, блог, форумаар дамжуулан тасралтгүй хэв маяг/сэдэв үүсгэх
Дүр тус бүрийн хяналтын самбар:
Захиргааны хяналт
Зохицуулагчийн хяналтын самбар
Хэрэглэгчийн хяналтын самбар
Хамтарсан зөвшөөрлийн систем
Нарийвчилсан тохиргоонд зориулсан цахилгаан загвар хөдөлгүүр
Хэрэглэгчийн хяналт:
Хязгааргүй үүрэг, эрх мэдэл бүхий олон хэрэглэгчийн систем
Оролцсон бүлгүүд
Аюулгүй байдал
Мөхлөгт хүч
Асуудлын мэдэгдэл
Тохиромжтой SSL
Captcha
Имэйл баталгаажуулалт
Администраторын хяналтын самбарын мэдээний редактор
"Strike" системд нэвтрэх
Имэйл болон нууц үгийн өөрчлөлтөд одоогийн нууц үг шаардлагатай
1998 оны Хүүхдийн онлайн нууцлалыг хамгаалах тухай хууль (COPPA)-тай нийцдэг
1. Администраторын хяналтын самбар руу очно уу:
Хэл ба хэллэг - Хэл татаж авах / байршуулах.
2. "ЭЙТЭР XML файлыг компьютерээсээ байршуулна уу" талбарт замыг оруулна уу
vbulletin-language_ru.xml файлыг компьютер дээрээ суулгана уу.
3. "Хэлийг дарж бичих" сонголтоос "Шинэ хэл үүсгэх"-г сонгоно уу.
4. "Байршуулсан хэлний гарчиг" талбарт тухайн хэлний нэрийг оруулна.
Оруулсан өгөгдөл байхгүй тохиолдолд хэлийг "Орос (RU)" гэж нэрлэнэ.
5. "Тийм" гэснийг "Хэлний хувилбарыг үл тоомсорлох" болгож тохируулна уу.
6. "Тийм" гэснийг "XML файлаас тэмдэгтүүдийг унших" болгож тохируулна уу.
7. "Импорт" товчийг дарж татаж авах процесс дуусахыг хүлээнэ үү.
7А Хэрэв хүсвэл шинэ хэлийг "Өгөгдмөл" хэл болгож болно.
хажууд байгаа "Өгөгдмөл" товчийг дарна уу.
Та vBulletin хөдөлгүүр дээрх форумыг нэгээс олон удаа үзсэн байх. Форумууд моодны оргилд байхаа больсон ч vBulletin нь хамгийн алдартай хөдөлгүүрүүдийн нэг хэвээр байна. Хамгийн сүүлийн (тав дахь) хувилбарт администраторын амьдралыг ихээхэн сүйтгэж болох хэд хэдэн сул талууд олдсон. Энэ нийтлэлд би тэд хэрхэн ажилладагийг харуулах болно.
Эхний асуудал бол хэрэглэгчийн өгөгдлийг буруу шүүсэн явдал юм. Энэ тухай нэрээ нууцлахыг хүссэн аюулгүй байдлын бие даасан судлаач мэдээлэв. Энэ эмзэг байдал нь зарим хязгаарлалттай боловч ямар ч файлыг уншиж, зорилтот систем дээр дурын кодыг ажиллуулах боломжийг олгодог тул чухал статусыг авсан.
Хоёр дахь эмзэг байдлыг TRUEL IT-ийн судлаачид олж, CVE-2017-17672 таних тэмдэг хүлээн авсан. Энэ нь хөдөлгүүр дэх өгөгдлийг салгах онцлогтой холбоотой бөгөөд халдагч үүнийг систем дэх дурын файлуудыг устгахад ашиглаж болно.
Хоёр асуудлыг нарийвчлан харуулсан бүрэн тайланг SecuriTeam-ийн Аюулгүй байдлын гаднах хөтөлбөрийн нэг хэсэг болгон нийтлэв. Мөн эмзэг байдлыг харуулахын тулд PoC-ийн мөлжлөгүүд байдаг. Энэ бүгдийг дарааллаар нь авч үзье.
бэлтгэл ажил
Би WAMP түгээлтийг сервер болгон ашигласан.
Файлуудыг унших, тушаалуудыг гүйцэтгэх
Тиймээс, эхний эмзэг байдлын шалтгаан нь routesstring параметрийг боловсруулах явцад буруу логиктой холбоотой бөгөөд халдагч этгээд дискэн дээрх дурын файлыг оруулах, дотор нь байгаа PHP кодыг ажиллуулах боломжийг олгодог.
Бидний зам хамгийн чухал файл болох index.php-ээс эхэлдэг бөгөөд энэ нь програмыг эхлүүлэх үндсэн ажил юм.
/index.php
48: $app = vB5_Frontend_Application::init("config.php"); ... 60: $routing = $app->getRouter(); 61: $ арга = $ чиглүүлэлт-> getAction(); 62: $template = $routing->getTemplate(); 63: $class = $routing->getControllerClass();vB5_Frontend_Application::init аргыг харцгаая.
/үүнд/vb5/frontend/application.php
13: анги vB5_Frontend_Application өргөтгөл vB5_ApplicationAbstract 14: ( 15: нийтийн статик функц init($configFile) 16: ( 17: parent::init($configFile); 18: 19: self::$instance = new vB5_Fronten(шинэ vB5_Frond); self::$instance->router = new vB5_Frontend_Routing(); 21: self::$instance->router->setRoutes();Энд бид setRoutes аргыг сонирхож байна.
47: нийтийн функц setRoutes() 48: ( 49: $this->processQueryString(); ... 54: if (isset($_GET["routestring"])) 55: ( 56: $path = $_GET[" routestring"];$path хувьсагч нь routestring параметрээс хэрэглэгчийн өгөгдлийн утгыг авдаг. Та форумын хуудас руу орох замыг оруулах боломжтой бөгөөд энэ нь ачаалагдах болно.
Бид тэнцсэн гэж бодъё /шалгалт .
Хувьсагчийг хуваарилсны дараа мөрийн эхэнд байгаа ташуу зураасыг арилгах кодын хэсэг гарч ирнэ.
/үүнд/vb5/frontend/routing.php
75: if (strlen($path) AND $path(0) == "/") 76: ( 77: $path = substr($path, 1); // $path = "туршилт" 78: )орно\vb5\frontend\routing.php
83: хэрэв (strlen($path) > 2) 84: ( 85: $ext = strtolower(substr($path, -4)) ; 86: if (($ext == ".gif") OR ($ext) == ".png") OR ($ext == ".jpg") OR ($ext == ".css") 87: OR (strtolower(substr($path, -3)) == ".js" )) 88: ( 89: толгой("HTTP/1.0 404 олдсонгүй"); 90: үхэх(""); 91: ) 92: )Таны харж байгаагаар чек нь нэлээд хачирхалтай юм. Наад зах нь код руу шууд оёж, хориотой өргөтгөлийн жагсаалт байгаа нь төөрөгдөл үүсгэдэг. Ерөнхийдөө мөрийн төгсгөлөөс (85-р мөр) дөрвөн тэмдэгтийг таслах замаар өргөтгөлийг олж авдаг нь үнэхээр ойлгомжгүй юм. Ерөнхийдөө бид gif, png, jsp, css эсвэл js файлуудыг авахыг оролдвол сервер 404 хуудас буцааж, скрипт ажиллахаа болино. Бүх шалгалтыг давахад vB_Api_Route ангиас getRoute аргыг callApi ашиглан дууддаг. Энэ нь хэрэглэгчийн өгсөн мэдээлэлд үндэслэн тохирох маршрутуудыг хайж олдог.
Үргэлжлүүлэн зөвхөн гишүүдэд ашиглах боломжтой
Сонголт 1. Сайт дээрх бүх материалыг уншихын тулд "сайт" нийгэмлэгт нэгдээрэй
Тодорхой хугацаанд нийгэмлэгт гишүүнээр элсэх нь танд Хакерын БҮХ материалд хандах боломжийг олгож, хувийн хуримтлагдсан хөнгөлөлтөө нэмэгдүүлж, мэргэжлийн Xakep онооны үнэлгээг хуримтлуулах боломжийг олгоно!