Так же хочу сказать почему я обратил внимания на картинки которые вели на сторонний ресурс. В моей жизни был один феномен, на одном уязвимом сайте говорить не буду на каком был залит Shell доступ в виде *.png файла, при переходе на данную картинку кидало на Shell доступ при том если эту картинку открываешь у себя на ПК ты ведешь простое фото к примеру спач боба и так же если заливаешь её на какой либо IMG хостинг при переходе так же видишь картинку но стоит перейти с уязвимого ресурса редиректит на Shell доступ. По этому я и поднял такую тревогу.

Я с тобой полностью согласен сей час уязвимость к примеру можно удалённо POST запросом изменить данные файла .htaccess к примеру на ниже указанные:

<Files "libravatar-replace.jpg">
AddType application/x-httpd-php .jpg
</Files>

тем самым говоря, что мы читаем файл libravatar-replace.jpg (который содержит Shell) как *.php файл, тем самым у нас получится реальная ссылка на *.jpg файл но при заходе мы будем попадать на Shell. Тонкости залива Shell-а объяснять не буду Вам это не надо но как выглядит подобный Shell покажу я для этого специально зарегистрировал сторонний хостинг и туда залил Shell.

Сама ссылка на Shell: http://xaker26.zz.mu/libravatar-replace.jpg

Подобная операция возможна и с MyBB т.к она не исключение.

Выше указанные данные доны лишь в ознакомительных целях но не для принесения вреда какому либо ресурсу.

Отредактировано Xaker26 (Сб, 28 Дек 2013 07:27:34)