Форум по WordPress

интеремно.... а кто-то пробовал это на вкус??))..... надо поинтере6соваться что за....

Как гласит народная мудрость: "не обязательно пробовать дерьмо, чтобы знать, что оно невкусное".

Хочешь подробнее, смотри не там, куда зовут, а там, где тебя не ждут, например _http://forum.xakep.ru/m_1047682/tm.htm

PS ozono, поверь, это не смешно.

Можно, конечно. Но скажи честно, ты всегда тыкаешь "Выход" перед тем как посмотреть интересную для тебя ссылку?

Кстати, зайди в курилку.

Ю.Б. написал:

Как гласит народная мудрость: "не обязательно пробовать дерьмо, чтобы знать, что оно невкусное".

Хочешь подробнее, смотри не там, куда зовут, а там, где тебя не ждут, например _http://forum.xakep.ru/m_1047682/tm.htm

PS ozono, поверь, это не смешно.

Ю.Б. совершенно с вами согласен. Только вот это наш человек там создал это публикование, но суть не в этом. Я поражаюсь человеку под нику "ozono" он говорит что он такой "не ламер", что никогда никуда не заходит когда находится в аккаунте. Не скажите мистер... Вы заходитли по моей ссылке? а? Молчите... так вот, а если бы я именно там создал этот evil страницу? Что скажите? А вы тут как раз под аккаунтом прилигевированным сидите, заходите по ссылкам с форума, это ничего?? Так что вы не парьте людям мозги про то что ламер не зайдет! Вы точно также можете разговаривать с человеком по icq и он кинет вам ссылку (даже знакомый человек, люди всякие бывают) и конечно тут вы считаете себя тоже правым. Не ведите себя так высокомерно. Вы даже не понимаете всю серьезность данной уязвимости! она работает на чатах, на форумах на любых движках где не проверяются эти самые рефереры. А вы все.... не ламер, не ламер... не стоит так о людях говорить и не стоит на себя с высока глядеть. Я бы посоветовал одним из первых создать патч для Wordpress, ведь всетаки это сайт русской поддержки... сами понимаете. И всетаки для разных людей двигло делалось, а не только "не для ламеров". Примите к сведению пожалуйста. Я ведь это не просто так написал, чттобы вы сказали "а, хрен с ним, я поумнее тех кто так делает"...

Насколько я помню, то подобная уязвимость уже была выявлена в WordPress 2.2. Там тоже шла речь о проверке referer. Хотя я согласен, что все не так просто - как ни крути, а куча скриптов не проверяет ни уровень пользователя, ни входяшие параметры. По админке могу еще добавить что в WordPress'е используется check_admin_referer() - скажем приведенный код по добавлению нового пользователя не сработает, пока пользователь не будет залогинен (+ подтверждение) и у него будут права на такие действия.

Crash 0verride написал:

Вы заходитли по моей ссылке? а? Молчите... так вот, а если бы я именно там создал этот evil страницу? Что скажите? А вы тут как раз под аккаунтом прилигевированным сидите, заходите по ссылкам с форума, это ничего??

начнем с того, что ты будь повнимательнее когда читаешь мои посты.....

----
Ю.Б. написал:

Можно, конечно. Но скажи честно, ты всегда тыкаешь "Выход" перед тем как посмотреть интересную для тебя ссылку?

если чесно... то я вообще ничего не делаю кроме вордпресса , кодга я уже в админке!!!!...... мне не до отвлеканий бывает!!!
-------

знай что нужно понимать что за ссылку ты открываешь!!!!.... понятно что все может произойти.... но речь идет о вордпрессе а не о форуме в котором я сижу...

Так что знай и запомни --- когда я открыл вордпрес я глух и нем..... иначе у меня никак!!!!

Crash 0verride написал:

Так что вы не парьте людям мозги про то что ламер не зайдет! Вы точно также можете разговаривать с человеком по icq и он кинет вам ссылку (даже знакомый человек, люди всякие бывают) и конечно тут вы считаете себя тоже правым.

ну вот что ты там бормочешь???.... я не сижу в аське.... и если бы сидел... я бы уж точно с вордпрессом закончил бы!!!!

Crash 0verride написал:

Не ведите себя так высокомерно. Вы даже не понимаете всю серьезность данной уязвимости! она работает на чатах, на форумах на любых движках где не проверяются эти самые рефереры.

я понимаю серьезность... что теперь... мне сидеть и задумываться над такой глобальной проблемой???... везде есть выход из положения.....

Если я сказал, что ламер он и в Африке ламер -- это не говорит о моем высокомерии. Среди юзеров ламеров почти 70%.... вот из-за этого и наши беды. Не зная меня не суди!!!

Crash 0verride написал:

А вы все.... не ламер, не ламер... не стоит так о людях говорить и не стоит на себя с высока глядеть. Я бы посоветовал одним из первых создать патч для Wordpress, ведь всетаки это сайт русской поддержки... сами понимаете. И всетаки для разных людей двигло делалось, а не только "не для ламеров".

вот когда я посмотрю на тебя с высока тогда и поговорим..... я пока не проверял насколько ты ламер)))) не в обиду!!!)))....

патчи будут тогда когда будет в них нужда!!!!

Crash 0verride написал:

Я ведь это не просто так написал, что бы вы сказали "а, хрен с ним, я поумнее тех кто так делает"...

ты был близок к моим мыслям))))).... ..... не мучай себя... все будет хорошо!!)))

Отредактированно ozono (14-01-2008 12:41:58)

А вот, кстати и решение . Просто подсократил параною от Юрия.

<?php
/*
Plugin Name: paranoja-401
Plugin URI: http://blog.portal.khakrov.ua/
Description: Параноидальная проверка пароля для входа в админку
Author: Yuri 'Bela' Belotitski
Version: 0.2 beta @ 14.01.2008
Author URI: http://www.portal.khakrov.ua/
*/

function htauth() {
    if (strpos($_SERVER['REQUEST_URI'], 'wp-admin') === false ) return;
    if (($_POST or $_GET) and (strpos($_SERVER['HTTP_REFERER'],get_bloginfo('home')) === false)) die ('Achtung! XSS attack!');
}

add_action('init', 'htauth');
?>

Проверяю, вроде отлавливает все сторонние посты и геты.

все мне кажеться.... заработало.... !!! только вот все равно что-то сердце неспокойное....

sonika написал:

Епта, ozono, ты любой топик зафлудишь…

я вообще-то это не занимаюсь.... просто задевают за живое))

Consigliori написал:

Ozono говорит:

он еще новенький.... и мой стиль вряд ли поймет)))))

Что же такого в вашем высоком штиле чего не может понять «Новенький» ?

а ты кто???)) Crash 0verride = Consigliori или мне так кажеться??))) мне нравится быть в центре внимания.... продолжай

ну вот предстваь.... ответил я... затем вы затем опять я и опять вы..... это разве форум отношений????

меня интересует все что относится к вордпрес!!!!... можешь давай поговорим об этом!!...

только ламеры могут на меня обижаться))))))....  так что учись студент!!!!

думаю и для этого форума тоже возможно будет модифицировать function htauth() и поставить!!!.. да и у МАХ-а я думаю всегда есть бекап на черный день...

Crash 0verride, ну че ты так ....))) радуйся жизни.... я хочу тебе дать понять, что Ю.Б. задал вопрос а я ответил..... что ты так впрямь на иглах....

Мы все разные...... и делаем все поразному....)) Я открывал твой линк, но зная что кроме форума у меня ничего не открыто. Так как я не админ форума,  потому я знаю что вряд ли можно испортить кашу маслом!!!!!

Но согласись...  настолько все надо оставить запущенным чтоб заработать себе проблемы...... ведь столько условий надо наложить, чтоб серьезно повредить движок. Я согласен тема стоит внимания. Так давайте будем еще осторожнее и пусть каждый припасется функцией function htauth().....

не в обиду Crash 0verride...... я прямой человек но не злой.... и тут с кем-то сориться и портить настроение и отношение не собираюсь...... как минимум из-за уважения к друзьям,  коллегам и  МАХ-у.....

шерше ла фам)))...

Отредактированно ozono (15-01-2008 12:27:48)