vBulletin (sutrumpintai kaip vB) yra judrus, visiškai tinkle veikiantis forumas, turintis didelį potencialą išplėsti galimybes. Rašome Švedijos internetu – PHP, naudojame itin efektyvią ir greitą MySQL duomenų bazę. Iš šio forumo būtina pamatyti: greitą ir efektyvų robotą su duomenų baze, sąsają, susidedančią iš šablonų, galingą paieškos sistemą, daugiafunkcį mobilumą, klientų profilių palaikymą, galingą ir rankinį administratoriaus skydelio estratorį, galimybę neriboto skaičiaus temų ir informacijos kūrimas, temų vertinimas, informacija el. paštu ir daug daugiau
vBulletin 3.8:
Socialinės grupės – Diskusija:
* Sekite socialiniuose tinkluose grupės gali diskutuoti (išvertus: a la naujienų citavimas, pokalbiai tinklaraštyje, toliau – diskusija)
* Diskusijos rūšiuojamos pagal autorių, tipą ir kitą informaciją
* Diskusijas galima filtruoti naudojant papildomą viso teksto paiešką antraštėse (vertimas: tiesiog įvedus dalį antraštės)
* Diskusijas galima moderuoti šone (švediškas moderavimo meniu)
* Diskusijos pažymėtos kaip skaitytos visais variklio būdais (DB, slapukais) su galimybe pereiti prie pirmo neskaityto pranešimo
* Klientai gali prenumeruoti pokalbius ir gauti pranešimus el. paštu apie naujas žinutes
* Pokalbių prenumerata patvirtinama paskyros valdytojo nustatymuose (Mano paskyra)
* Aptariama informacija gali būti socialinė. žymės (kerovani koristuvachem) (vertimo tipas: gal kaip forumo temose, tik jūsų socialinėse grupėse ir koreguoja ne moderatoriai, o patys koristuvačiai)
* Naujos „Can Always“ (vertimas: nuolatinės?) teisės kurti ir peržiūrėti diskusijas ir pranešimus su lengvesne prieiga.
* Vaizdo įrašai buvo perkurti vartotojams be JavaScript.
* Moderatoriai gali greitai redaguoti pranešimus socialinėje žiniasklaidoje. groupy vikorystyuchi AJAX.
* Pranešimai rūšiuojami pagal kategorijas, kas intuityviai suprantama teminėse diskusijose (vertimas: ne iki galo aišku, ką tai reiškia kategorijoms, o veikiau visiems pranešimų skaičiams, teminėms diskusijoms – grupių informacija socialinėse grupėse)
* Grupės nariai gali pritaikyti savo grupes taip, kad tik grupės vadovas galėtų inicijuoti diskusijas.
* Moderuojami ir nuotoliniai pokalbiai yra sugrupuoti (matomi) paskyros tvarkyklės nustatymuose (Mano paskyra), kur galima tęsti modernizavimą.
* Moderatoriaus teisės yra suskirstytos diskusijoms ir tai, įskaitant šiuos dalykus (pvz., vertimas: „musės okrame, kotletai okramo“ ir kt.)
* Pokalbio ištrynimo/perkėlimo valandą iš duomenų bazės ir duomenų atliekamos specialios užklausos darbui pagreitinti.
* Atnaujinus iš senesnės nei 3.8 versijos, pagrindiniai pranešimai bus perkelti į pokalbius, taip pat į grupes.
*Informacija socialiniams tinklams. Grupė yra laukiama, jei korespondentas peržiūri diskusiją.
Socialinių grupių pokyčiai:
* Socialinis grupės žymimos skaitant duomenų bazę ir naudojant informacija bei diskusijomis paremtus metodus
* „Pasirašyti viską“ reiškia, kad visos diskusijos grupėje buvo perskaitytos naudojant AJAX
*Galite užsiprenumeruoti socialinę žiniasklaidą. Grupės, grupių parašai matomi paskyros nustatymų skiltyje (Mano paskyra)
* Socialinis Grupės dabar matomos kategorijose/skiltyse
* Socialinės kategorijos grupės rodomos išskleidžiamajame sąraše, grupių sąraše ir informacija apie grupes
* Naujame puslapyje rodoma nauja grupė, jūsų grupės, naujos grupės ir jūsų sukurtos grupės
* Jūsų sukurtose grupėse galima naršyti naudojant AJAX ir rodyti informaciją apie grupę, įskaitant dalyvaujančius ir prižiūrimus narius
* Kategorijų sąrašas (vertimas: kaip ir žymų sąrašas) rodomas grupės rodinyje (su įvairiomis populiarių rodymo parinktimis)
* Kategorijas galima kurti, ištrinti arba sujungti administratoriaus skydelyje
* Atnaujinus iš senesnės nei 3.8 versijos, pagrindinės grupės perkeliamos į grupę „Nėra kategorijos“, kurią galima pervadinti
* Grupes galima filtruoti pagal kategorijas, naudojant kategorijas arba paieškos plėtinius
* Socialinis Grupės gali motinos piktogramą. Piktograma rodoma informacijoje apie grupę, o maža piktograma rodoma grupių sąraše
* Jūsų profilyje rodomos grupių, kuriose suformuota paskyra, piktogramos
* Teisių valdymo sistema leidžia valdyti piktogramų dydį ir galimybę nustatyti animuotas piktogramas
* Piktogramas galima išsaugoti tiek duomenų bazėje, tiek failų sistemoje
* Naujos teisės gali apimti daugybę socialinių tinklų. grupės, kurias gali sukurti koristuvach
* Socialinis Grupės gali būti perduodamos tarp koristuvachų. Grupės perdavimą atliks Wikonan, kai tik grupė jį gaus
* Moderatoriai gali perkelti grupes kitiems nariams. Tse can buti korisno, jei vlasnik groupi tampa neaktyvus
Specialių pranešimų pakeitimai:
* Galimybė naudoti naują „Swidka vidpovid“, skirtą vidpovidui ypatingomis progomis
* Nauja paskyros parinktis, leidžianti išsaugoti mokėjimo pranešimo kopiją, įskaitant siuntimą naudojant formą
* Funkcijos gali būti rūšiuojamos pagal pavadinimą, datą ir katalogą
* Pranešimo funkcijas galima filtruoti pagal katalogą, pavadinimą, paskelbimo datą
* Kontrolė bus paskelbta. Administratoriai gali nustatyti odos grupės laikotarpį ir maksimalų įspėjimo laiką.
* Pranešimų pasirinkimai įsimenami visuose puslapiuose būsimiems veiksmams (perkėlimui, ištrynimui ir kt.)
Profilis:
* Dabar klientai gali pasirinkti, kurios jų profilio dalys yra matomos ir kam
* Administratorius gali tinkinti daugiau paskyros valdytojo profilio laukų
* Vaizdai gali būti perkelti iš vieno albumo į kitą
* Albumo viršelis sukuriamas iš naujo, jei viršelio vaizdas buvo perkeltas arba albumas neįtrauktas į viršelį
Lengva dėžė:
* Šviesdėžės dabar gali būti naudojamos visoms draugų nuotraukoms peržiūrėti
* Mygtukai „Persiųsti“ ir „Persiųsti“ gali būti naudojami naršyti po pridėtus failus ir keisti, kada pasiekiamas pirmasis / paskutinis vaizdas
Kiti pakeitimai ir papildymai:
* CAPTCHA sistemos pakeitimas
* Dabar temų žymas galima sujungti ir pervardyti
* Administratoriaus skydelyje pasirinktos žymos įsimenamos visuose puslapiuose
* Naujos taisyklės buvo atnaujintos ir išplėstos puslapių apačioje
* Žinutė koristuvachų sąrašui atnaujinta: dabar yra submeniu įvairiuose forumo sąrašuose (socialinės grupės, paveikslėliai ir albumai, kontaktai ir draugai bei koristuvačių sąrašas)
* Pašalinti ir prižiūrimi pranešimai dabar šviečia meniu skydelyje
* Varpai ir švilpukai iš submeniu įvairiose forumo dalyse
* Pakeiskite meniu klientų skydelyje
* Naujos teisės į miniatiūras prieinamos mūsų kontaktams. Jums leidžiama žiūrėti į miniatiūras, bet jums neleidžiama žiūrėti už vaizdo ribų.
* Žiūrėti RSS: filtras
* Keisti šablonus, atnaujintus šablonus
* Teisės į temų priešdėlį – priešdėliai gali vikorizuoti bendradarbių grupės dainas
* TypePad anti-spam palaikymas
* Kliento vardo prieinamumo tikrinimas registracijos metu naudojant AJAX
* Pranešimus dabar galima uždaryti tik juos perskaičius
* Redagavimo istorija išvaloma administratoriaus skydelyje
* Forumo taisykles galima peržiūrėti registracijos metu
* Informacija per specialią informaciją
* Išvalykite prenumeratos aplankus vienu paspaudimu
* Shvidke redagavimas socialinėje žiniasklaidoje. grupėse skyriuose „Mokytojų pokalbiai“ ir „Komentarai prieš vaizdą“
* Nauji pranešimų datos nustatymai
* Redaguoto kontaktų sąrašo tobulinimas.
Pagrindiniai privalumai:
- "Shvidka" yra veiksmingas pagrindas, pagrįstas duomenimis
- Sąsaja, kurią sudaro šablonai
- Paspaudimo stūmimo sistema
- Bagatomovnos palaikymas
- Koristuvachų profiliai
- Administratoriaus skydelis paspaudžiamas rankiniu būdu
- Neribotas skyrių / temų / atskleidimų skaičius
- Pranešimas el. paštu
- Parama iš COPPA
Gerbdama tuos, kurie forume turi demo versijas, kurias galima įdiegti, programinės įrangos įmonė nepataria, aš atsitiktinai įdiegiau kairę versiją, importuotą iš kažkokio Varezniko. Tačiau instrukcijos gali ne visiškai atitikti licencijos forumo diegimo procesą. Po įdiegimo svetainė buvo matoma, be jokio įspėjimo.
Norėdami įdiegti „vBulletin“, eikite į prieglobos skydelį (mygtukas su pavara, esančia priešais prieglobą sąraše), ten, esančiame „Failų tvarkyklė“, tada eikite į „www“ katalogą. Paspauskite mygtuką „Įkelti failą į srauto katalogą“:
Eikime į failą kompiuteryje:
Mes matome archyvus iš vBulletin, išpakuokite jį:
Matome, kad yra failų ir katalogų, kurių mums nereikia, įskaitant mūsų www domeno katalogą – manau, kad jūs ten neturite nieko, ko jums reikia. Jei neįdedate jo į svetainės šaknį, bet kataloge svetainei vis tiek to reikia - nereikia ištrinti domeno www katalogo:
Matome katalogą su „vBulletin“ diegimo programa, pervardykite jį:
Įveskite mūsų svetainės pavadinimą kaip katalogo pavadinimą:
Eikime į prieglobos skydelio skyrių „Duomenų bazė“:
Sukurkime naują MySQL duomenų bazę ir turėsime visas prieigos prie jos teises:
Atminkite, kad serveris ir duomenų bazė automatiškai priskyrė priešdėlį jūsų debesies paskyros pavadinimui prieglobos serveryje:
Eikime į pagrindinį mūsų svetainės puslapį ir pasirinkite šį „vBulletin“ pranešimą:
Mes važiuojame keliu į diegimo programą adreso juostoje, reikalaujant pridėti „install/install.php“, po kurio prasidės „vBulletin“ forumo diegimo programa:
„vBulletin“ diegimo programa patikrina, ar yra failų:
Kitą akimirką ryšys su duomenų baze bus patikrintas, bet nepraeis – nes Forumo konfigūracijos faile įvesti neteisingi duomenys:
Eikime į prieglobos valdymo pultą, failų tvarkyklę, eikime į katalogą su forumu, tada į pakatalogią „įeina“. Atidarykite failą "config.php":
Mes įvedame teisingus duomenis iš duomenų bazės į konfigūracijos failą, po kurio jis uždaromas:
Grįžkime į svetainę, į montuotoją. Paspaudžiame „F5“, nuo kurio viskas gerai, ryšys su baze išaugo:
„vBulletin“ diegimo programa sukuria lenteles duomenų bazėje:
„vBulletin“ diegimo programa pakeičia šiuos lentelių tipus:
Įveskite duomenis į duomenų bazę:
Filmai importuojami:
Stiliai importuojami:
Importuojama:
Nereikia nustatyti sąrankos, vBulletin diegimo programa viską parodė teisingai:
Importuojami standartiniai nustatymai:
Įveskite „vBulletin“ administratoriaus informaciją:
vBulletin administratorius sėkmingai pridėtas:
vBulletin prie prieglobos sėkmingai baigtas:
Įdiegus diegimo programą pašalinami nereikalingi failai:
Galite eiti į vBulletin forumą, vėl prisijungti ir viskas veikia tinkamai:
Bet kokiam varikliui reikia specialių veiksmų, kad būtų optimizuotas gražus ir sklandus robotas. Mūsų epizode kalbėsime apie „Vbulletin 4“ optimizavimą.
Kadangi mūsų forumo variklis nuolat atnaujinamas, nerašysiu apie ankstesnių Vbulletin versijų optimizavimą, o pradėsiu nuo 4.1.12 versijos. Nors norėtume palaipsniui atnaujinti šį straipsnį ir optimizuoti jį senesnėms versijoms, ne visi pereis prie naujausių.
Čia pateiksiu keletą pavyzdžių, kad jūsų Vbulletin forumas būtų stipresnis ir paprastesnis (pradedant nuo paprasčiausių kalbų, pereinant prie sudėtingesnių). Būkite švelnūs, pagarbiai, kad kalbos, kurios sakomos su manimi, nebūtinai bus sakomos su jumis. Todėl visus pakeitimus atliekate savo pačių rizika.
Ačiū koristuvachų sąrašui.
Yra paprastas būdas, tiesiog įjunkite AdminCP funkciją. (Nustatymai -> Parinktys -> Vartotojų sąrašo parinktys)
Tai nėra pasauliniu mastu svarbu, o jūs galite tai praleisti ir nedirbti, tiesiog aprūpinti save maistu ir tuo, ko jums reikia? Taigi, turėdami sąrašą prekybininkai gali jį sutvarkyti, pasižiūrėti, kas turi daugiau žinių, reputacijos ir pan. Ar jūsų samdiniai iš to turi naudos? Vienintelis dalykas, ar ne... jei pats sukilote prieš šį sąrašą?
Kalbant apie mane, man atrodo, kad sąrašai pateikiami tik šiukšlių platintojams, nes taip lengviausia surinkti visus Vbulletin 4 forumo dalyvius šlamšto platinimui specialiomis žinutėmis.
Be to, būtina sugeneruoti klientų sąrašą, tai brangu duomenų bazių serveriams ir gali labai sunaikinti serverį.
Padidintas apdorojimo greitis bus suteiktas specialiųjų asmenų sąrašui.
Jei neimportavote informacijos funkcijų iš išorinių įrenginių naudodami Impex ar kitas funkcijas, galite drąsiai pasikliauti specialios informacijos rūšiavimu pagal ID. Rūšiavimas pagal ID veiks taip, kad jūsų duomenų bazės serveris nereikės išmesti konkrečios informacijos į rūšiavimo pagal pavadinimą tvarkaraštį (roblechi bus užpildyta daug daugiau).
Norėdami tai padaryti, turite parašyti nedidelį modulį su private_messagelist_filter ir parašyti kitame žingsnyje:
If ($sortfield == "pmtext.dateline") $sortfield = "pm.pmid";
Ir viskas, tik privatus.php uždirbote ~20% daugiau.
Likusioms veiksmingą paiešką koreguojame, kad informuotume korespondentą.
Eikime į FTP, ieškokite failo, kuriame yra /class_userprofile.php, ir pakeiskite jį naujuose duomenyse tokiu pavadinimu, atrodo taip:
$getlastposts = $this->registry->db->query_read_slave(" SELECT thread.title, thread.threadid, thread.forumid, thread.postuserid, post.postid, post.dateline FROM " . TABLE_PREFIX . "post AS post INNER JOIN " . TABLE_PREFIX . " gija KAIP gija USING (threadid) WHERE thread.visible = 1 AND post.userid = " . $this->userinfo["naudotojo kodas"] . " AND post.visible = 1 ORDER BY post.dateline DESC LIMIT 20");
ir pakeičiamas ce (konkrečiau, ORDER BY):
$getlastposts = $this->registry->db->query_read_slave(" SELECT thread.title, thread.threadid, thread.forumid, thread.postuserid, post.postid, post.dateline FROM " . TABLE_PREFIX . "post AS post INNER JOIN " . TABLE_PREFIX . " gija KAIP gija USING (threadid) WHERE thread.visible = 1 AND post.userid = " . $this->userinfo["naudotojo kodas"] . " IR post.visible = 1 UŽSAKYMAS PAGAL post.posted DESC LIMIT 20");
Svarbu išgerti keletą teisingų, tačiau tai atsiras tokia forma. Tokiu būdu negalėsite efektyviai rūšiuoti į laiko lentelę. Klientams, turintiems daugiau nei 1000 pranešimų, išvestis užtruks apie 10 sekundžių, o mūsų atveju tai užtruks daug mažiau. Visų pirma, tai yra Vbulletin 4 paskyros valdytojo profilis, dėl likusios informacijos prašome informuoti.
Tikrinama temos rodyklė.
Jei jūsų forumuose yra rūšiavimo tvarka ir jie įdiegti be pakeitimų, kaip tai darėme anksčiau, įsitikinkite, kad visi jūsų indeksai yra jų lentelėse. Buvo problemų, kai indeksai pradėjo keistis dėl man nežinomų priežasčių ir nebuvo atidaryti tam tikri forumai.
Siūlau tai padaryti taip, kad užduotys būtų rūšiuojamos pagal datą (tai vadinama „datos linija“), o kad tai pasiektume, galiausiai parašysime:
ALTER TABLE giją ADD INDEX forumid2_dp (forumid, matomas, lipnus, datos linija)
Tai paprašys jūsų būti konkretesni, jūsų kaltė forumid2_dp yra jūsų motinos kaltė. Vikorist savo pavojuje ir rizik.
Būkite atsargūs montuodami priedus.
Vien todėl, kad norite dirbti su moduliais ir įsilaužimais, dar nereiškia, kad jie buvo sukurti jums, jie praktikuojasi puikiuose „Vbulletin 4“ forumuose ir nėra pasigailėjimo. Tai puikus būdas suvokti masines blogybes per tuos kitus įsilaužimus.
Žinoma, galime daryti prielaidą, kad kūrėjai negali visko suprasti, ir pereiti visus įsilaužimus, kad kvapai nekonfliktuotų, bet... Perkonfigūruoti, kad Vbulletin modulis nereikalauja didelės vertės duomenų bazėje, perkonfigūruoti, kad įsilaužimas turi SQL apsaugos potencialas Ektsіy arba XSS. Deja, yra tūkstančiai papildymų ir modifikacijų, ir tiesiog neįmanoma visko patikrinti. Būtų geriau, jei visus įsilaužimus parašytumėte patys arba paklaustumėte kito. Tavo ir tavo yra tavo.
Negadinkite InnoDB lentelių.
Čia, žinoma, mane galima apšmeižti, nes ši tema jau buvo aptarta milijoną kartų, bet galiu pasakyti, kad aš 100% dirbu su MyISAM lentelėmis bet kokiam tikslui. Galiu apdoroti 1000 užklausų per sekundę.
Jeigu jau ima kraustytis iš proto užduodamas klausimus, viskas sustingsta, ypač naujoje Vbulletin paieškoje keiskite InnoDB MyISAM lenteles. MyISAM užtikrina didesnį įrašo lankstumą, todėl nereikia blokuoti kitų įrašų. InnoDB siūlo platų pasirinkimą ir leidžia tik akimirksniu išsaugoti užklausas. Jei jūsų užklausos parašytos tiesiogiai MyISAM, jums nereikia pereiti prie InnoDB. IMHO.
Statti įvertinimas
0%
Įvertinimas
Vartotojo reitingas: 0,35 (1 balsas)
- Žiūrėti:
- Registruota: 2014.07.07
- Įrašai: 3,796
- Man tiesiog patinka PunBB:
- 5 metų, 7 mėnesių, 6 dienos,
- Patinka: 470
Tema: Kuris forumas geresnis už vBulletin ar PunBB
VBulletin (Vobla arba Bulka, kaip mes mėgstame jį vadinti) yra vienas iš seniausių komercinių forumo variklių, parašytas naudojant papildomas PHP ir MySQL technologijas. Pradedant pirmosios versijos išleidimu 2000 m., buvo atliktas didžiulis funkcionalumo padidėjimas, dėl kurio VB buvo sumažintas iki trumpiausių programinės įrangos produktų sąrašo.
VBulletin licencija jums kainuos apie 250 USD. Neabejokite, kad išlaidos bus visiškai pateisinamos ir tikrai atsipirks sutaupant darbo valandas ir nervų ląsteles. Dauguma šių centų atitenka kūrėjams ir programuotojams, kurie juos išleis funkcionalumui tobulinti ir pataisoms bei papildymams išleisti (taigi ateityje visi atnaujinimai bus pristatyti jums nemokamai).
2 Atsakyti pagal PunBB
- Žiūrėti: Maskva, Sovhoznay 3, apt. 98
- Registruota: 2014.07.07
- Įrašai: 3,796
- Man tiesiog patinka PunBB:
- 5 metų, 7 mėnesių, 6 dienos,
- Patinka: 470
Perkurti visas VBulletin funkcijas nėra prasmės. Ten jie įdiegė praktiškai viską, ko gali prireikti forumo administratoriams. Podcasting, kelių citatų palaikymas, socialinių grupių dalijimasis ir aprėptis, vertinimo sistema (reputacija). Pagrindinis paketas gali būti papildytas trečiųjų šalių plėtiniais.
VBulletin forumo variklis daro rimtą poveikį serveriui, ypač kai įdiegiami trečiųjų šalių priedai ir scenarijai. Kad išvengtumėte problemų su mėgstamomis svetainėmis, turėsite investuoti į tinkamą prieglobą. Ypač jei prognozuojate didelį savo išteklių padidėjimą ateityje.
3 Atsakyti pagal PunBB
- Žiūrėti: Maskva, Sovhoznay 3, apt. 98
- Registruota: 2014.07.07
- Įrašai: 3,796
- Man tiesiog patinka PunBB:
- 5 metų, 7 mėnesių, 6 dienos,
- Patinka: 470
Kuris forumas geresnis už vBulletin ar PunBB
VBulletin, dėl savo ypatingo atsparumo blogiui ir spambotams, rekomendacijos vikoristanui dideliuose rimtuose projektuose. Be to, standartinius nustatymus ir konfigūracijos failus galima nesunkiai keisti savaip ir taip pasiekti dar didesnį efektą. Internete yra begalė liaudies ekspertų instrukcijų ir vadovų, nors jūs negalite pasitikėti tik vienu iš jų.
VBulletin įgyvendina didelio masto idėjas paprasčiausiu būdu. Nuolatiniai atnaujinimai, kokybiškas aptarnavimas, papildomi išplėtimai ir patikimi saugos mechanizmai – visi gaminiui išleisti pinigai yra tikri.
4 Atsakyti pagal PunBB
- Žiūrėti: Maskva, Sovhoznay 3, apt. 98
- Registruota: 2014.07.07
- Įrašai: 3,796
- Man tiesiog patinka PunBB:
- 5 metų, 7 mėnesių, 6 dienos,
- Patinka: 470
Kuris forumas geresnis už vBulletin ar PunBB
Visos funkcijos perpildytos be jokios prasmės – naujojoje (arba papildomose) įdiegta praktiškai viskas, ko gali prireikti administratoriui kuriant forumą. Yra daugybė citatų, palaikoma internetinė transliacija, korespondentų bendruomenė ir socialinės grupės, puiki reputacijos sistema ir daug daugiau.
Žinoma, „vBulletin“ turi daug papildomų ir brangiai kainuojančių darbuotojų, todėl nebus jokių įprastų priežiūros problemų, ypač užtikrinant, kad yra oficiali palaikymo tarnyba. „vBulletin“ minusas, nors ir nelabai didelis, yra papildomas mokėjimas, pavyzdžiui, už laisvai samdomo darbuotojo tinklaraščius.
Už didžiojo rakhunko forume nėra jokių trūkumų. Jis gali būti rekomenduojamas dideliems, rimtiems projektams dėl savo patikimumo ir atsparumo visoms atakoms. Dėl to tai daro didelę įtaką serveriui, ypač diegiant priedus, tačiau rimtiems projektams kvieskite rimtus serverius ir rimtus administratorius.
Jūs melodingai ne kartą atsisiuntėte forumus vBulletin variklyje. Forumai nebėra mados viršūnėje, tačiau vBulletin, kaip ir anksčiau, buvo vienas populiariausių variklių. Ši likusi (penktoji) versija turi nemažai problemų, kurios apsunkina administratorės gyvenimą. Ši statistika leidžia mums žinoti, kaip išnaudojami kvapai.
Pirmoji problema yra neteisingas klientų duomenų filtravimas. Apie ją, nusprendusią prarasti anonimiškumą, papasakojo nepriklausomas saugumo tyrėjas. Programa, nors ir turi sujungimo veiksmų, pasiekė kritinę būseną, kuri leidžia skaityti bet kokius failus ir kompiliuoti papildomą kodą visoje sistemoje.
Kitas išsiliejimas buvo aptiktas TRUEL IT tyrėjų ir identifikuotas identifikatoriumi CVE-2017-17672. Taip yra dėl duomenų deserializavimo iš variklio ypatumų ir užpuolikai gali jį naudoti norėdami ištrinti papildomus failus iš sistemos.
Daugiau informacijos apie abi problemas paskelbė „Beyond Security“ programa „SecuriTeam“. Yra PoC išnaudojimų, skirtų išsiliejimui parodyti. Pereikime tai eilės tvarka.
Paruošimas
Kaip serveris, esu WAMP platinimo vikoristas.
Skaitomi failai, baigtos komandos
Be to, pirmojo išsiliejimo priežastis yra neteisinga logika apdorojant maršruto eilutės parametrą, leidžiantį užpuolikui įtraukti bet kurį diske esantį failą ir pakeisti PHP kodą, kurį kažkas turi.
Mūsų kelias prasideda nuo pagrindinio failo – index.php, kuriame vyksta pagrindinė programos inicijavimas.
/index.php
48: $app = vB5_Frontend_Application::init("config.php"); ... 60: $routing = $app->getRouter(); 61: $metodas = $routing->getAction(); 62: $šablonas = $routing->getTemplate(); 63: $klasė = $routing->getControllerClass();Pažvelkime į metodą vB5_Frontend_Application::init.
/includes/vb5/frontend/application.php
13: klasė vB5_Frontend_Application išplečia vB5_ApplicationAbstract 14: ( 15: vieša statinė funkcija init($configFile) 16: ( 17: parent::init($configFile); 18: 19: self::$instance = new vB5_Fron_self::$instance ->router = new vB5_Frontend_Routing();21: self::$instance->router->setRoutes();Čia galime remtis setRoutes metodu.
47: viešoji funkcija setRoutes() 48: ( 49: $this->processQueryString(); ... 54: if (isset($_GET["maršrutizavimo eilutė"])) 55: (56: $kelis = $_GET[" maršruto eilutė"];$path pakeitimas pašalina reikšmę iš maršruto eilutės parametro. Iki tol galite perkelti maršrutą į forumo pusę, ir ji bus pritraukta.
Tarkime, mus išlaikė /testas.
Kodui priskyrus keičiamą pėdsaką, kuris pridedamas kaip pasvirasis brūkšnys eilutės antraštėje, jei yra.
/includes/vb5/frontend/routing.php
75: if (strlen($kelis) IR $kelias(0) == "/") 76: ( 77: $kelis = substr($kelis, 1); // $kelias = "testas" 78: )include\vb5\frontend\routing.php
83: if (strlen($kelis) > 2) 84: ( 85: $ext = strtolower(substr($kelias, -4))); 86: if (($ext == ".gif") ARBA ($ext == ".png") ARBA ($ext == ".jpg") ARBA ($ext == ".css") 87: ARBA (strtolower(substr($kelis, -3)) == ".js" )) 88: ( 89: header("HTTP/1.0 404 Nerasta"); 90: die(""); 91: ) 92: )Tiesą sakant, apsisukimas yra nuostabus. Mažiausiai galite išvengti apribotų plėtinių, tiesiogiai prijungtų prie kodo, sąrašo. Tai faktas, kad išsiplėtimas vyraus, simboliai iš eilutės pabaigos (85 eilutė), sako stebuklas. Beje, mes bandome išgauti failą su plėtiniais gif, png, jsp, css arba js, serveris įjungiamas į 404 ir scenarijus pridedamas prie wiki. Atlikus visus patikrinimus, callApi iškviečia vB_Api_Route klasės metodą getRoute. Ji ieško skirtingų maršrutų, kylančių iš perduotos informacijos.
Pratęsimas dalyviams nebepasiekiamas
1 variantas. Eikite į „svetainę“, kad perskaitytumėte visą svetainėje esančią medžiagą
Narystė su visu paskirtu terminu suteiks prieigą prie VISOS „Hacker“ medžiagos, padidins asmenines santaupas ir leis kaupti profesionalų „Xakep Score“ įvertinimą!