Intellect Board — cистема управления сайтомПостроение сайта на основе форума |
Intellect Board — cистема управления сайтом » Архив технической поддержки IntB до версии 2.15 » Обсуждение уязвимости в версии 2.13 |
Правила раздела |
<<Назад Вперед>> | Страницы: 1 2 3 Модераторы: aerograf, wsx | Печать |
KADABRA |
Игнорировать
Сообщение отправлено: 25 августа 2005 15:54
ИМХО надо просто различать и использовать где надо $_POST и $_GET, f yt ghblevsdfnm dczrbt getvar`ы |
Сейчас на форуме |
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик Откуда: Москва Всего сообщений: 3299 Рейтинг пользователя: 70 Ссылка Дата регистрации на форуме: 29 сен. 2001 |
Это еще одна потенциальная уязвимость - если я откажусь от getvar, то придется вручную фильтровать на SQL injection (т.е. проставлять везде addslashes). У меня другая идея: в форуме у каждого пользователя есть так называемый личный ключ - случайная последовательность из 8 символов, которая хранится в базе и в явном виде нигде никому не доступна. Так вот, я добавлю в форму скрытое поле, содержащее MD5-хеш этого ключа, а при обработке формы буду его проверять. ---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно! |
KADABRA |
XXXX Pro Это надо будет проверку вставить во ВСЕ формы - от формы для поста до всех форм из админки. |
Сейчас на форуме |
KADABRA |
Имхо лишнее это. Легче добавить в getvar необязательный параметр, и если указать его true, то данные берутся только из ПОСТа. |
Сейчас на форуме |
eugrus
Участник Проекта
Всего сообщений: 420 Рейтинг пользователя: 5 Ссылка Дата регистрации на форуме: 14 мар. 2005 |
XXXX Pro написал: А это ты как получил? admin/index.php - сразу вылазит это и больше ни чего XXXX Pro написал:
у меня вообще нет подписи ---
Russian UNIX Forums |
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик Откуда: Москва Всего сообщений: 3299 Рейтинг пользователя: 70 Ссылка Дата регистрации на форуме: 29 сен. 2001 |
В админку - по любому придется вставлять везде. А в форму для поста - нафиг? ---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно! |
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик Откуда: Москва Всего сообщений: 3299 Рейтинг пользователя: 70 Ссылка Дата регистрации на форуме: 29 сен. 2001 |
Кажется, я придумал, как сделать довольно простую реализацию: смотреть, как передается $action - если в GET, то данные тоже берем из GET, если через POST - то берем только через POST. (Т.к. я нигде не использую вызова обработчиков вида <form action="index.php?a=do_something">, т.к. в Opera такая конструкция жутко глючит (в некоторых версиях). Тогда будет достаточно исправить всего три функции в xaphpi.php и действительно не потребуется заморачиваться с ключами. ---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно! |
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик Откуда: Москва Всего сообщений: 3299 Рейтинг пользователя: 70 Ссылка Дата регистрации на форуме: 29 сен. 2001 |
Подумав еще раз, я пришел к выводу, что такое простое решение не поможет... ---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно! |
eugrus
Участник Проекта
Всего сообщений: 420 Рейтинг пользователя: 5 Ссылка Дата регистрации на форуме: 14 мар. 2005 |
XXXX Pro А как пока что можно попасть в админку :confuse ---
Russian UNIX Forums |
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик Откуда: Москва Всего сообщений: 3299 Рейтинг пользователя: 70 Ссылка Дата регистрации на форуме: 29 сен. 2001 |
Никак не могу воспроизвести твою ошибку. Только что поставил оба обвновленных файла поверх "чистого" дистрибутива (т.е. стандартного IntB 2.13 без каких-либо модификаций). Проверь еще раз файл iboard.php, возможно, дело в слетевших настройках, а также наличие файла xaphpi.php. ---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно! |
<<Назад Вперед>> | Страницы: 1 2 3 Модераторы: aerograf, wsx | Печать |
Intellect Board — cистема управления сайтом » Архив технической поддержки IntB до версии 2.15 » Обсуждение уязвимости в версии 2.13 |
1 посетитель просмотрел эту тему за последние 10 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
Ограничение доступа не отображаются разделы Архив версий Установка стиля на Intellect Board 2.22 Завершилась работа над новой версией 3.00 |
Самые активные 5 тем | |