Перейти к публикации

Рекомендованные сообщения

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

[img=http://site.ru/admin.php?mod=editusers&action=dodeleteuser&id=6406&user=kaiser]
решение Итак: Открываем /engine/classes/parse.class.php (для версий ниже 6.3 файл /engine/inc/parse.class.php) 1. находим:
return trim($txt);
выше добавляем:
if ( $wysiwig != "yes" )

{


$txt  = preg_replace ( "#[center][img=(.*?)(.php|.js)(.*?)][/center]#si", "", $txt );

$txt  = preg_replace ( "#[img=(.+?)(.php|.js)(.+?)]#si",					   "", $txt );

$txt  = preg_replace ( "#[img=(.+?)](.+?)(.php|.js)(.+?)[/img]#si",			   "", $txt );


$txt  = preg_replace ( "#[center][thumb](.+?)(.php|.js)(.+?)[/thumb][/center]#si", "", $txt );

$txt  = preg_replace ( "#[thumb](.+?)(.php|.js)(.+?)[/thumb]#si",					   "", $txt );

$txt  = preg_replace ( "#[thumb=(.+?)](.+?)(.php|.js)(.+?)[/thumb]#si",			   "", $txt );


}
2. находим:
return trim($source);
выше добавляем
$source  = preg_replace ( "#[center][img=(.*?)(.php|.js)(.*?)][/center]#si", "", $source );

	$source  = preg_replace ( "#[img=(.+?)(.php|.js)(.+?)]#si",					   "", $source );

	$source  = preg_replace ( "#[img=(.+?)](.+?)(.php|.js)(.+?)[/img]#si",			   "", $source );


	$source  = preg_replace ( "#[center][thumb](.+?)(.php|.js)(.+?)[/thumb][/center]#si", "", $source );

	$source  = preg_replace ( "#[thumb](.+?)(.php|.js)(.+?)[/thumb]#si",					   "", $source );

	$source  = preg_replace ( "#[thumb=(.+?)](.+?)(.php|.js)(.+?)[/thumb]#si",			   "", $source );

Ссылка на сообщение
Поделиться на других сайтах

В админке проверка рефера идет.

самое интересное, что сам админ удалит юзера, при просмотре такого текста

ребята... а ведь эту ссылку можно подсунуть админу и через тег ....

тут надо целсофту в срочном порядке пересматривать безопасность админки... как минимум перевести все важные входящие переменные с GET на POST

Ссылка на сообщение
Поделиться на других сайтах

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

Для этого и нужно скрывать админпанель, меняя ее имя в настройках, в новых версиях скрипта динамические ссылки в изображениях будут отключены.

Правильное исправление данной проблемы находится по адресу:

http://dle-news.ru/bags/v65/247-otkljuchen...h-ssylok-v.html

Ссылка на сообщение
Поделиться на других сайтах

Для этого и нужно скрывать админпанель, меняя ее имя в настройках

Любой модератор узнает новое имя админки и может творить что хочет!

ПРОБЛЕМА ПОЛНОСТЬЮ НЕ РЕШЕНА!!!

кто не верит могу продемонстрировать!!!! залогиненый админ на сайте - ПОТЕНЦИАЛЬНАЯ УГРОЗА!!!!

Ссылка на сообщение
Поделиться на других сайтах

Любой модератор узнает новое имя админки и может творить что хочет!

Что за воспаленный бред вы несете? во первых модератор не имеет практически никаких прав в админпанели кроме редактирования новостей. Во вторых у вас что все кто зарегистрировался имеет право модерирования? Модератор может нажать кнопку "Удалить новости" и ему ненужно ничего слать администратору чтобы что то удалить. У него есть на это права и без администратора.

Любой журналист может без модерации опубликовать новость: "Админ урод, сайт взломан" Вы уж головой маленько думайте кому вы даете доступ в админпанель, а кому нет.

С тем же успехом можно написать: "ПОМОГИТЕ ЛЮБОЙ ЖУРНАЛИСТ ПИШЕТ ПРО МЕНЯ ГАДОСТИ НА САЙТЕ, СКРИПТ НЕБЕЗОПАСЕН"

Ссылка на сообщение
Поделиться на других сайтах

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

Для этого и нужно скрывать админпанель, меняя ее имя в настройках, в новых версиях скрипта динамические ссылки в изображениях будут отключены.

Правильное исправление данной проблемы находится по адресу:

http://dle-news.ru/bags/v65/247-otkljuchen...h-ssylok-v.html

К сожалению после Этого Апдэйта все видео ролики с Ютуба(и не только) вставляемые по средством кода в Редакторе для Админа не отображаются...

Ссылка на сообщение
Поделиться на других сайтах

Думаю что в новой версии необходимо добавить запрос на подтверждение действий админа, тогда все проблемы будут сняты.

Ссылка на сообщение
Поделиться на других сайтах

MSK, точно, ну или удалять пользователей через AJAX а в исполняемом файле делать проверку вида

if($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')

Ссылка на сообщение
Поделиться на других сайтах

MSK, точно

Меня сразу напрягало, что все операции проходят без запроса на подтверждение (даже в phpbb замучают- ТОЧНО хочешь ЭТО сделать?)

Как на это раньше никто не обратил внимания...

Видимо - "всему свое время" :)

А нынешнее решение добавило массу проблем, в том числе и с заливкой картинок - модераторы уже запарили вопросами....

Ссылка на сообщение
Поделиться на других сайтах

А по поводу AJAX - админ должен иметь возможность управлять сайтом в любом месте.

Мне часто приходится использовать КПК, но в стандартных браузерах для КПК AJAX не поддерживается....

а также и ява :)

Ссылка на сообщение
Поделиться на других сайтах

MSK, вот я вчера подумал и решил что подтверждения это н епанацея от всех бед. После подтверждения ведь скрипт идёт по какому-то адресу и выполняет задачу. Этот адрес нам известен и с ним работаем.

Поэтому вопрос остался открытым)

Ссылка на сообщение
Поделиться на других сайтах

Поэтому вопрос остался открытым)

любое удаление через код подтверждения!

знаю, геморой будет дикий, зато безопасность будет намного выше!

пусть даже код будет не из пяти, а скажем из двух цифр, но и тогда процент случайного попадания один из сотни.

Ссылка на сообщение
Поделиться на других сайтах

Ребята придетcя немного потерпеть, в новой версии все вернется обратно, автоматическая авторизация и никаких подтверждений, т.к. подтверждения не решают проблемы. В новой версии скрипта каждый залогиненный пользователь получит уникальную контрольно-цифровую подпись, подделать которую невозможно, и выполнить любое действие можно только при наличи такой подписи.

если сейчас у вас или ваших модераторов происходит постоянное разлогинивание, то им нужно включить в своем брандмауэере поддержку REFERER, тогда разлогинивания в течении одной сессии не будет.

Ссылка на сообщение
Поделиться на других сайтах

любое удаление через код подтверждения!
вот это уже ближе к теме :)

получит уникальную контрольно-цифровую подпись, подделать которую невозможно
про многие вещи так говорили в своё время...

автоматическая авторизация и никаких подтверждений
в таком случае активация почтового ящика должна быть отдельно
Ссылка на сообщение
Поделиться на других сайтах
автоматическая авторизация и никаких подтверждений
я извиняюсь, но о каких тогда подтверждениях идёт речь? Подтверждение авторизации? Не видел такого
Ссылка на сообщение
Поделиться на других сайтах

В свете всего выше написанног - когда ждать новую версию?

Т.к. это можно считать критическим обновлением.

Ссылка на сообщение
Поделиться на других сайтах

В свете всего выше написанног - когда ждать новую версию?

тогда когда будет готово

Т.к. это можно считать критическим обновлением.

обновление уже вышло http://dle-news.ru/bags/v65/252-obnovlenie...ti-skripta.html

Ссылка на сообщение
Поделиться на других сайтах

А код видеоролика какой?

как пример такой

<object width="425" height="355"><param name="movie" value="http://www.youtube.com/v/mf3NIPbZHYc&rel=1"></param><param name="wmode" value="transparent"></param><embed src="http://www.youtube.com/v/mf3NIPbZHYc&rel=1" type="application/x-shockwave-flash" wmode="transparent" width="425" height="355"></embed></object>

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...