Tamaranga 2.0 null / (2.1 в соседней теме!)

vovcema · 1 Июл 2015

Ребята помогите с установкой ...что куда и как ....

iviam · 1 Июл 2015

vovcema написал(а):
Ребята помогите с установкой ...что куда и как ....

содержимое public-html кладеш в public-html
остальные файлы и папки в корень,тоесть до public-html
импортируеш базу
прописываеш данные базы в config/sys.php

при добавлении второго языка js перестает работать,в чем может быть проблема?

mega74 · 1 Июл 2015

Помогите изменить пути к админки в app/security.php и в bff/base/security.php. Не могу найти где и какие строчки менять.

Genk0 · 1 Июл 2015

mega74 написал(а):
Помогите изменить пути к админки в app/security.php и в bff/base/security.php. Не могу найти где и какие строчки менять.

PHP:

function init()
    {
        # Путь к админ.панели, формат: "/dir/dir/", "/dir/", "/" (слэш в начале и конце пути обязателен)
        $this->sessionCookie['admin-path'] = '/admin/';

второй файл точно такой же 'admin-path' => '/admin/',

iviam · 1 Июл 2015

Genk0 написал(а):
PHP:

function init() { # Путь к админ.панели, формат: "/dir/dir/", "/dir/", "/" (слэш в начале и конце пути обязателен) $this->sessionCookie['admin-path'] = '/admin/';

второй файл точно такой же 'admin-path' => '/admin/',

может знаете в чом проблема с языками?когда один язык-то все работает,а когда добавляеш 2-ой- категории и регионы в филтре поиска не выбираютса.
та же проблема -когда в index.php что-то меняеш.
помогите решить проблему друзя

Doctor_Chaos · 2 Июл 2015

В общем, найдена уязвимость в движке и весьма прискорбная - локальный инклюд файлов. При помощи специально сформированного запроса можно посмотреть содержимое файлов и даже выполнить произвольный код в системе(ака залить шелл)
Судя по всему, это сделано намеренно, ибо не отфильтровать переменную вообще никак - верх нубизма. Так что в ваших сайтах может полазить не только тамаранга, но и любой желающий

iviam · 2 Июл 2015

Doctor_Chaos написал(а):
В общем, найдена уязвимость в движке и весьма прискорбная - локальный инклюд файлов. При помощи специально сформированного запроса можно посмотреть содержимое файлов и даже выполнить произвольный код в системе(ака залить шелл)
Судя по всему, это сделано намеренно, ибо не отфильтровать переменную вообще никак - верх нубизма. Так что в ваших сайтах может полазить не только тамаранга, но и любой желающий

а вы знаете как закрыть эту уязвимость?

evgenich759 · 3 Июл 2015

iviam написал(а):
а вы знаете как закрыть эту уязвимость?

Конечно знает, 300 баксов и он тебе ее закроет. Не нужно слушать ни кого, а особенно кто пишет такое-локальный инклюд файлов. Взломать не возможно, даже если удастся залить шелл, что не возможно сделать, он автоматически переименуется и найти его будет крайне сложно, но даже если вдруг повезет - при обращении к нему будет только содержимое этого файла, т.к выполнение php скриптов выключено. А по поводу просмотра таблиц базы данных, 70% скриптов имеют данную уязвимость, но это опять же ничего не даст, все пароли шифруются в мд5 и расшифровать их не возможно, единственное что может увидеть злоумышленник это номер телефона и почтовый ящик. Так что советую не парится, и не слушать бред.

Doctor_Chaos · 3 Июл 2015

evgenich759 написал(а):
Конечно знает, 300 баксов и он тебе ее закроет. Не нужно слушать ни кого, а особенно кто пишет такое-локальный инклюд файлов. Взломать не возможно, даже если удастся залить шелл, что не возможно сделать, он автоматически переименуется и найти его будет крайне сложно, но даже если вдруг повезет - при обращении к нему будет только содержимое этого файла, т.к выполнение php скриптов выключено. А по поводу просмотра таблиц базы данных, 70% скриптов имеют данную уязвимость, но это опять же ничего не даст, все пароли шифруются в мд5 и расшифровать их не возможно, единственное что может увидеть злоумышленник это номер телефона и почтовый ящик. Так что советую не парится, и не слушать бред.

Феерический бред. Смотри рекламу чаще - там хорошему учат: иногда лучше жевать, чем говорить. :facepalm:

Вы хоть знаете, о чем речь и что такое LFI уязвимость? Php отключено - я в ахуе! :dead:

Люди говорят о том, что ломают направо и налево, а он как упоротый твердит, что все отлично и ничего такого нет...
И да - уязвимость я никому здесь закрывать не собираюсь ни з 300 ни за 1000 баксов. Можете не рассчитывать на это.
Для тех, кто в теме - на днях со стелсом будем разгребать код, ибо кроме LFI есть еще один баг, позволяющий управлять данными, удалять объявления в обход ограничений и многое другое...

ZOLK · 3 Июл 2015

Нууу, в общем для прикола залил, установил и две недели он простоял, потом каким-то "магическим" образом слетела вся кодировка в бд )

Tamaranga 2.0 null / (2.1 в соседней теме!)

vovcema

Создатель

iviam

Создатель

mega74

Постоялец

Genk0

Хранитель порядка

iviam

Создатель

Doctor_Chaos

Проктолог-гинеколог

iviam

Создатель

evgenich759

Постоялец

Doctor_Chaos

Проктолог-гинеколог

ZOLK

Постоялец