LightNEasy CMS 日本語解説サイト　BBFriend

Easy Forum

Information

 当方で
設置代行も行います
先ずはご連絡ください

稼動実績サーバー

Last News

Easy Forum

入手先　：　Easy Forum, a flat file forum

バージョン EasyForum! 2.x（　2.5　でした　）

開発元：http://hot-things.net/?q=eforum

▽ Easy Forum--------------------------------------------------------
Easy Forumは、join.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2006/02/22 登録

危険度：中
影響を受けるバージョン：2.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません
EasyForum2.5には、セキュリティホールがあります。

http://www.netsecurity.ne.jp/6_6005.html　　唖然....

---

１：アクセス権の設定

easyforum　
　├-members.php 777
　├/backup 　777
　├/data　777
　　　├banned 　666 or 777
　　　├flood　666 or 777
　　　├gshow　666 or 777

２：管理画面に　http://*******/plugins/easyforum/admin.php　に接続し管理人用のパスワードを設定　easyforum/data/psss.php に作成される

３：設定　easyforum/config.php を直接編集する。

$time_format='d M Y H:i';   　→　$time_format='Y/m/d H:i';   :

$admin_mail="fernbap@gmail.com";　→　あなたのメールアドレス

include "incl/lang-en.inc";    →　include "incl/lang-jp.inc";    

 

以下は判っていませんが...

$members_only=1;  →　$members_only=0;　ゲストの書込みが可能

$pass_field='text'　？？　メンバーパスワードってなんだ？

---

トピを作ると　"You are not so clever" と表示される  なんだコレ？　アホとかバカって意味か。捨てせりふ？？
検索したらかなり出てます..
http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GFRD_jaJP306JP306&q=%22You+are+not+so+clever%22

inc/format.inc の上の方で処理してるけど、、、チェックしてワザワザ捨てせりふでトピを立てる意味が理解できない。。承認中って意味合いでしょうか。必要とは思えないので下記の部分をコメントアウト

$admin_ban=0;
/***** if((strlen($name)>$flood[1])||(strlen($title)>$flood[2])||(strlen($text)>$flood[3])){$admin_ban=1;}
$lines=explode("\n",$text);if(count($lines)>$flood[6]){$admin_ban=1;}

for($i=0;$i<count($lines);$i++){
$words=explode(" ",$lines[$i]);
for($j=0;$j<count($words);$j++){
if(strlen($words[$j])>$flood[4]){$admin_ban=1;break 2;}
}}

if($admin_ban==1){
$desc=1;$name="ADMIN";$title="...";
$text=$lang[77]." [c]".$REMOTE_ADDR."[/c] ... [m2]";} ******/

---

なんと、IFrame で　表示してるだけです　。　Ｉｆｒａｍｅで表示してそれが、、プラグインなのか！？　・・ちょっと　っていうか、かなり　唖然。

http://**********/plugins/easyforum/ 

下記の形式で　直接、ページに書き込めばなんでもOKじゃないか。。

<iframe width="100%" id="the_iframe"
 onLoad="calcHeight();"
 src="plugins/easyforum/index.php"
 scrolling="NO"
 frameborder="0"
 height="1">
An iframe capable browser is
required to view this web site
</iframe>

---

ユーザー登録するトコにXSS(クロスサイトスクリプティング)の危険性があるけど、$members_only=0　でやれば関係ないし、訳の判らないアイコンも消して、簡単な「合言葉」でＳＰＡＭ対策。

log.gif 、otb.gif　：main.php のLine41　

psw.gif　：incl/extr2.inc のLine１

合言葉の表示部：incl/edit.inc　Line12

合言葉の内部処理：
　新規トピ作成時　new.php
　投稿時　add.php

 

このプラグインをわざわざ、、使うのは止めたほうがよさそう...　LightNEasyの良い点は、テンプレートの作りやすさだけ　の気がしてきた。

Original design by Denise Michison | Copyright © 2009　U-TEC Since 09/03/01 | LightNEasy.JP | ホーム | サイトマップ