Новости звезд

Осторожный vbulletin. Какой форум лучше vBulletin или PunBB

Гаджеты
08.11.2022

Основные преимущества:

  • Быстрая и эффективная основа на базе данных
  • Интерфейс, состоящий из шаблонов
  • Мощная поисковая система
  • Многоязыковая поддержка
  • Профили пользователей
  • Мощная и удобная панель администратора
  • Неограниченное количество разделов/тем/сообщений
  • Уведомления по email
  • Поддержка COPPA

Ввиду того что демки форума, которую можно инсталлировать, фирма-производитель не предоставляет, пришлось устанавливать левую версию, скачанную с какого-то варезника. Так что инструкция может не совсем соответствовать процессу установки лицензионного форума. После инсталляции, сайт был удалён, по назначению не использовался.

Для инсталляции vBulletin, переходим в панель управления хостингом (кнопка с шестерёнкой напротив заказа хостинга в биллинге), там в "Менеджер файлов", в нём переходим в директорию "www". Нажимаем кнопку "Закачать файл в текущую директорию":

Указываем путь к файлу на своём компьютере:

Выделяем архив с vBulletin, распаковываем его:

Удаляем ненужные нам файлы и директории, в том числе директорию нашего www домена - при условии что там у вас ничего нужного нет. Если вы ставите не в корень сайта, или в директории сайта есть что-то нужное - удалять директорию www домена не надо:

Выделяем директорию с инсталлятором vBulletin, переименовываем её:

Вводим имя нашего сайта, в качестве имени директории:

Переходим в раздел "Базы данных", панели управления хостингом:

Создаём новую базу данных MySQL, и пользователя, с полными правами доступа к ней:

Обратите внимание, что и пользователь и база автоматически получили преффикс, по имени вашего аккаунта на хостинг-сервере:

Заходим на главную страницу нашего сайта, получаем такую ошибку vBulletin:

Вбиваем путь к инсталлятору в адресной строке, надо дописать "install/install.php", после чего запускется программа установки форума vBulletin:

Установщик vBulletin проверяет наличие файлов:

На следующем шаге присходит проверка соединения с базой данных, она не проходит - т.к. в файле конфигурации форума вбиты неверные данные:

Возвращаемся в панель управления хостингом, файловый менеджер, заходим в директорию с форумом, дальше субдиректория "includes". Открываем файл "config.php":

Вносим верные данные от БД в конфигурационный файл, после чего его закрываем:

Возвращаемся на сайт, к инсталлятору. нажимаем "F5", на этот раз всё хорошо, соединение с базой срослось:

Программа установки vBulletin создаёт таблицы в базе данных:

Инсталлятор vBulletin меняет типы некоторых таблиц:

Вносятся данные в базу данных:

Имортируются языки:

Импортируются стили:

Импортируется справка:

Настройки по умолчанию не трогаем, программа установки vBulletin всё верно определила:

Импортируются настройки по умолчанию:

Вводим данные администратора vBulletin:

Администратор vBulletin успешно добавлен:

Установка vBulletin на хостинг успешно завершена:

Следуя последнему совету инсталлятора, удаляем ненужные файлы:

Можно зайти на форум vBulletin, убедиться что всё работает корректно:

  • From:
  • Registered: 2014.07.07
  • Posts: 3,796
  • I just like PunBB:
  • 5 years, 7 months, 6 days,
  • Likes: 470

Topic: Какой форум лучше vBulletin или PunBB

VBulletin (Вобла или Булка, как его любят у нас называть) – один из старейших коммерческих форумных движков, написанных при помощи технологий PHP и MySQL. Начиная с выхода самой первой версии в 2000 году, была проделана колоссальная работа по улучшению функционала, что позволило VB попасть в список лучших программных продуктов.

Лицензия VBulletin будет стоить вам порядка 250 долларов. Не сомневайтесь, это вполне оправданная трата и уж точно окупит себя экономией рабочего времени и нервных клеток. Большая часть из этих денег идет разработчикам и программистам, которые в дальнейшем пустят их на доработку функционала и выпуск заплаток и дополнений (да, в течение года все обновления будут поставляться вам бесплатно).

2 Reply by PunBB

  • From: Moscow, Sovkhoznay 3, apt. 98
  • Registered: 2014.07.07
  • Posts: 3,796
  • I just like PunBB:
  • 5 years, 7 months, 6 days,
  • Likes: 470

Перечислением всех функций VBulletin заниматься не имеет смысла. Там реализовали практически все, что может понадобиться администраторам форума. Подкастинг, поддержка мультицитирования, разделение на социальные группы и сообщества, рейтинговая система (репутация). Базовую комплектацию можно дополнить сторонними расширениями.

Движок форума VBulletin создает серьезную нагрузку на сервер, особенно если установлены сторонние дополнения и скрипты. Чтобы в дальнейшем избежать проблем с загрузкой страниц, придется раскошелиться на нормальный хостинг. Особенно если в будущем прогнозируете своему ресурсу большую посещаемость.

3 Reply by PunBB

  • From: Moscow, Sovkhoznay 3, apt. 98
  • Registered: 2014.07.07
  • Posts: 3,796
  • I just like PunBB:
  • 5 years, 7 months, 6 days,
  • Likes: 470

Re: Какой форум лучше vBulletin или PunBB

VBulletin, из-за его чрезвычайной устойчивости к взлому и спам-ботам, рекомендован для использования в крупных серьезных проектах. Кроме того, стандартные настройки и конфигурационные файлы можно легко изменить на свой лад, добившись еще большего эффекта. В интернете есть множество инструкций и гайдов от народных умельцев, правда не каждому из них стоит доверять.

VBulletin, реализует масштабные идеи как нельзя лучше. Постоянные обновления, высококачественный сервис, дополнительные расширения и надежные механизмы безопасности – все это вполне оправдывает потраченные на продукт средства.

4 Reply by PunBB

  • From: Moscow, Sovkhoznay 3, apt. 98
  • Registered: 2014.07.07
  • Posts: 3,796
  • I just like PunBB:
  • 5 years, 7 months, 6 days,
  • Likes: 470

Re: Какой форум лучше vBulletin или PunBB

Все функции перечислять нет смысла – в нем (или же в дополнениях) реализовано практически все, что может понадобиться администратору для создания форума. Там есть и мультицитирование, и поддержка подкастинга, и сообщества пользователей, и социальные группы, и гибкая система репутации и многое другое.

Конечно, для vBulletin есть большое количество дополнений и пользовательских сообществ, так что никаких проблем с обслуживанием не будет, особенно с учетом того, что существует официальная служба поддержки. Минусом vBulletin, пусть и не очень большим, является платность дополнений, например, для пользовательских блогов.

По большому счету, недостатков у форума нет. Его можно рекомендовать для крупных серьезных проектов именно из-за его надежности и устойчивости ко всевозможным атакам. Как следствие, он создает существенную нагрузку на сервер, особенно с установленными дополнениями, но для серьезных проектов обычно используют серьезные сервера и серьезных администраторов.

Давно хотел написать об этом, да все руки не доходили, а тут как раз выдалась минутка опубликовать небольшую заметку по теме. Так почему же не опубликовать список того, на что пользователь смотреть в первую очередь перед выбором хостинга. Особенно для нас, тех кто пользуется vbulletin. Назовем это все просто - рекомендации. Понятное дело, что профессионалам и так все понятно, тут как бы объяснять нечего. А вот новичкам стоит все таки растасовать. Так как вижу нездоровую тенденцию, админ Vbulletin 4, хочет чтобы его форум работал на шаред хостинге за 5$ и все летало. такого не когда не будет!

Все мы знаем основы, но когда я искал свой хост когда-то я тоже совершал некоторые ошибки, вот и разберем некоторые.

Является ли компания оверселлером?

Господа, я вас умоляю, не пользуйтесь хостингом который перепродают (оверселлер). Скорее всего вам выделят кусок большого «гумна» с которым вы намучаетесь на долго. Но как нам определить, что хостинг перепродается через 50 руки? Тут секретов нет, вам предложат 500 или 1500ГБ места (тут я утрирую конечно но ненамного) и пропускную способность 100 ТБ и всего то за 5 баксов. Не слишком ли хорошо? Но это все бред сивой кобылы, на самом деле вам не нужно больше 2-10 ГБ дискового пространства, уж поверьте. А пропускной способности 50- 200 гб вам за уши, тем более на первых парах.

Является ли компания реселлером?

Тут тоже надо быть очень внимательным. Большинство реселлеров являются фирмами однодневками. Они берут деньги, поработают немного и все, вы их больше не увидите. Все ваши файлы и наработки пропадут! Но нам же это не надо, не правда ли? И даже если вам понравились цена на хостинг данных фирм, обязательно проверьте, как долго та или иная компания в бизнесе.

Предельный размер базы данных!

Это очень важный пункт, если вы планируете перенести ваш работоспособный vbulletin. Я осмотрелся в предложениях различных хостеров большинство предлагают 100мб. На первое время этого конечно вам будет достаточно, но как только ваш форум будет расти, вам этого будет мало и вы вынуждены будете перейти на VPS или выделенный сервер.

Количество одновременных подключений к базе данных.

О, да это 100% важная вещь. Это очень важно, тем более если вы работаете с Vbulletin. Так как со временем одновременное подключение только растет. Большинство компаний шаред хостинга предлагает 10-250, все зависит от хостинга. Просто позвоните в тех поддержку и спросите у них об этом. Но, не все шаред хостинги имеют эту информацию, или поделятся с вами.

Отзывы! Хорошо это или плохо?

Тех поддержка.

На большинстве хостингах есть круглосуточная тех поддержка, которая работает 24/7, через электронную почту, тикеты, icq, skype или еще каким либо способом. Но как долго они будут вам помогать? Иногда это играет решающую роль.

Вызовите тех поддержку и посмотрите как долго вы будете ждать ответа, особенно ночью или в 5-6 утра. И проверьте несколько вариантов и телефон и тикеты. Задайте простые вопросы на которые вы и так знаете ответы, нам нужно вычислить время их ответа. Получили! Отлично, посмотрите сколько вы ждали ответа на легкий вопрос, и прикиньте сколько вам будут отвечать на сложную ситуацию.

Большая известная компания или новая неизвестная?

В принципе тут выбор стоит только перед вами, чем старше компания и солиднее, цены у не будут немного выше, чем у только что созданных. Лично я выбираю компанию которая себя уже как-то зарекомендовала. Хотите знать почему? Все просто, представьте только себе, что вы в одночасье можете потерять множество полезных файлов и базу данных. То же самое про политику конфиденциальности, не всегда можно быть уверенным, что она соблюдается. Ваши данные могут быть скопированы и созданны сайты клоны. Этот список можно продолжать и продолжать. Ну вы меня поняли 🙂

vBulletin 3.8.0

Today, the vBulletin team is proud to declare version 3.8.0 to be our stable, supported release.

VBulletin 3.8.0 is available immediately from the Members" Area to all customers with active vBulletin licenses, and will be offered as the primary choice to those making new purchases. We recommend that all customers with active licenses upgrade to vBulletin 3.8.0.

Google AdSense Integration

VBulletin 3.8 features a control panel to allow you to quickly add Google AdSense advertising units to your forum and monetize your site traffic!

To get started, please visit the members" area and either sign up for a new Google AdSense account or assign your existing account with vBulletin.com. Once you have linked your members area account to your Google AdSense account, all vBulletin downloads will include the advertising control panel. (It will not be included unless you do this.)

From the control panel, you can choose an advertising package that contains the amount and type of ads that you want to feature - and deploy it instantly with just a couple of clicks. The positions and ad unit types chosen for each package are designed to give the maximum possible revenue for your site. Text-based advertising units will automatically inherit the color schemes of any styles you have on your board. Should you wish to experiment with the different ad packages, you can change your mind on deployed package at any time, including the option to remove ads completely.

For more information about this feature, please visit the vBulletin members" area.

New Features in 3.8

There are many new features and improvements to existing functionality in vBulletin 3.8.0 over vBulletin 3.7.x. Here is a brief list of just a few of the highlights.

  • Social group discussions
  • Social group categories
  • Private message sorting and filtering
  • Private message history
  • Quick edit for newer types of content (visitor messages and picture comments)
  • Social group icons
  • Social group transfers
  • Private message quick reply
  • Private message throttling (limit messages sent over a time period)
  • Private message reporting
  • Profile privacy (limit blocks to a subset of users)
  • Lightbox navigation
  • Thread prefix permissions
  • Dismissible notices
  • A full and detailed list is available in Darren"s blog.
Support for 3.7

This release supersedes the 3.7 branch as our primary product. Active maintenance of 3.7, including fixes for functionality breaks and security problems, will continue for approximately six months (to 1st July 2009), after which only security fixes will be released. Upon the release of vBulletin 4.1, the 3.7 branch will be end-of-life"d and no further security fixes will be made available and customers will be advised to upgrade to vBulletin 3.8 or newer in order to gain fixes.

PHP and MySQL Requirements

VBulletin 3.8.0 requires at least PHP 4.3.3 and MySQL 4.0.16 (These are the same requirements as vBulletin 3.7), but we strongly recommend that all customers run PHP 5.2.8 with APC and MySQL 5.1.30 or later. Major performance benefits can be had by taking the recommended route rather than simply satisfying the required versions.

What is a "Gold" Version?

When talking about software, the term "gold" is not related to the color of the application. Rather, it refers to the practice of burning the final version of a software product to a CD-R so that it can be sent to a large scale CD press for large-scale distribution. It is used to indicate that the code is ready for deployment to customers. The official name of this new version is vBulletin 3.8.0.

Installing or Upgrading vBulletin

Anyone who has installed or upgraded any version of vBulletin 3 before will be familiar with the process, but for those who are new to the system, the vBulletin manual has all the details for installing and upgrading.

Template Changes

A large number of templates have been changed when compared with vBulletin 3.7.x. It will be necessary to revert affected customized templates or otherwise carefully integrate the changes into your custom versions or new features and existing functionality will be adversely affected. A complete list of the templates you have customized whose original version has been changed by the 3.8.0 upgrade is available within your Admin Control Panel after the upgrade is complete.

Bug Reports

As with any software, bugs will appear. If you find a problem that you believe to be a bug, please don"t post about it on the forums where the development team may never find your message, but instead use the dedicated bug tracker to make a report that can be tracked through to completion.

Before reporting a bug, please ensure you are able to reproduce the problem on a board using a default, uncustomized style with all plugins disabled.

Ты наверняка неоднократно видел форумы на движке vBulletin. Форумы как таковые уже не на пике моды, но vBulletin по-прежнему один из самых популярных движков. В его последней (пятой) версии нашли несколько уязвимостей, которые способны сильно испортить жизнь админу. В этой статье я расскажу, как они эксплуатируются.

Первая проблема заключается в некорректной фильтрации пользовательских данных. О ней сообщил независимый исследователь безопасности, который пожелал остаться анонимным. Уязвимость, хоть и имеет некоторые ограничения, получила статус критической, потому что позволяет читать любые файлы и выполнять произвольный код на целевой системе.

Вторая уязвимость была найдена исследователями из компании TRUEL IT и получила идентификатор CVE-2017-17672. Она связана с особенностями десериализации данных в движке и может быть использована атакующим для удаления произвольных файлов в системе.

Полные отчеты с деталями обеих проблем были опубликованы в рамках программы Beyond Security от SecuriTeam. Там же есть PoC-эксплоиты для демонстрации уязвимостей. Давай по порядку пройдемся по всему этому.

Приготовления

В качестве сервера я использовал дистрибутив WAMP.

Читаем файлы, выполняем команды

Итак, причина первой уязвимости - некорректная логика при обработке параметра routestring, которая позволяет атакующему добавить через include любой файл на диске и выполнить PHP-код, который в нем находится.

Наш путь начинается с самого главного файла - index.php, где происходит базовая инициализация приложения.

/index.php
48: $app = vB5_Frontend_Application::init("config.php"); ... 60: $routing = $app->getRouter(); 61: $method = $routing->getAction(); 62: $template = $routing->getTemplate(); 63: $class = $routing->getControllerClass();

Посмотрим на метод vB5_Frontend_Application::init .

/includes/vb5/frontend/application.php
13: class vB5_Frontend_Application extends vB5_ApplicationAbstract 14: { 15: public static function init($configFile) 16: { 17: parent::init($configFile); 18: 19: self::$instance = new vB5_Frontend_Application(); 20: self::$instance->router = new vB5_Frontend_Routing(); 21: self::$instance->router->setRoutes();

Здесь нас интересует метод setRoutes .

47: public function setRoutes() 48: { 49: $this->processQueryString(); ... 54: if (isset($_GET["routestring"])) 55: { 56: $path = $_GET["routestring"];

В переменную $path попадает значение юзердаты из параметра routestring . В него можно передать путь до страницы форума, и она будет загружена.



Допустим, мы передали /test .

После назначения переменной следует кусок кода, который избавляется от слеша в начале строки, если он присутствует.

/includes/vb5/frontend/routing.php
75: if (strlen($path) AND $path{0} == "/") 76: { 77: $path = substr($path, 1); // $path = "test" 78: }
includes\vb5\frontend\routing.php
83: if (strlen($path) > 2) 84: { 85: $ext = strtolower(substr($path, -4)) ; 86: if (($ext == ".gif") OR ($ext == ".png") OR ($ext == ".jpg") OR ($ext == ".css") 87: OR (strtolower(substr($path, -3)) == ".js")) 88: { 89: header("HTTP/1.0 404 Not Found"); 90: die(""); 91: } 92: }

Как видишь, проверка довольно странная. Как минимум смущает наличие зашитого прямо в код списка запрещенных расширений. Да и вообще сам факт, что расширение получают, вырезая четыре символа с конца строки (строка 85), вызывает недоумение. В общем, если мы пытаемся получить файл с расширениями gif, png, jsp, css или js, то сервер вернет страницу 404 и выполнение скрипта прекратится. Когда все проверки пройдены, с помощью callApi вызывается метод getRoute из класса vB_Api_Route . Он ищет подходящие роуты, исходя из переданной пользователем информации.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!