CMS DataLife Engine - Система управления сайтами

Sign in to follow this  
revix.ru

новый баг

Recommended Posts

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

[img=http://site.ru/admin.php?mod=editusers&action=dodeleteuser&id=6406&user=kaiser]
решение Итак: Открываем /engine/classes/parse.class.php (для версий ниже 6.3 файл /engine/inc/parse.class.php) 1. находим:
return trim($txt);
выше добавляем:
if ( $wysiwig != "yes" )

{


$txt  = preg_replace ( "#[center][img=(.*?)(.php|.js)(.*?)][/center]#si", "", $txt );

$txt  = preg_replace ( "#[img=(.+?)(.php|.js)(.+?)]#si",					   "", $txt );

$txt  = preg_replace ( "#[img=(.+?)](.+?)(.php|.js)(.+?)[/img]#si",			   "", $txt );


$txt  = preg_replace ( "#[center][thumb](.+?)(.php|.js)(.+?)[/thumb][/center]#si", "", $txt );

$txt  = preg_replace ( "#[thumb](.+?)(.php|.js)(.+?)[/thumb]#si",					   "", $txt );

$txt  = preg_replace ( "#[thumb=(.+?)](.+?)(.php|.js)(.+?)[/thumb]#si",			   "", $txt );


}
2. находим:
return trim($source);
выше добавляем
$source  = preg_replace ( "#[center][img=(.*?)(.php|.js)(.*?)][/center]#si", "", $source );

	$source  = preg_replace ( "#[img=(.+?)(.php|.js)(.+?)]#si",					   "", $source );

	$source  = preg_replace ( "#[img=(.+?)](.+?)(.php|.js)(.+?)[/img]#si",			   "", $source );


	$source  = preg_replace ( "#[center][thumb](.+?)(.php|.js)(.+?)[/thumb][/center]#si", "", $source );

	$source  = preg_replace ( "#[thumb](.+?)(.php|.js)(.+?)[/thumb]#si",					   "", $source );

	$source  = preg_replace ( "#[thumb=(.+?)](.+?)(.php|.js)(.+?)[/thumb]#si",			   "", $source );

Share this post


Link to post
Share on other sites

Тота меня один тип спрашивал где взять ID пользователя :angry: , а оно вон оно что...

Share this post


Link to post
Share on other sites

В админке проверка рефера идет.

где взять ID пользователя

Нажать отправить сообщение - там и id будет.

Share this post


Link to post
Share on other sites

В админке проверка рефера идет.

самое интересное, что сам админ удалит юзера, при просмотре такого текста

ребята... а ведь эту ссылку можно подсунуть админу и через тег ....

тут надо целсофту в срочном порядке пересматривать безопасность админки... как минимум перевести все важные входящие переменные с GET на POST

Share this post


Link to post
Share on other sites

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

Для этого и нужно скрывать админпанель, меняя ее имя в настройках, в новых версиях скрипта динамические ссылки в изображениях будут отключены.

Правильное исправление данной проблемы находится по адресу:

http://dle-news.ru/bags/v65/247-otkljuchen...h-ssylok-v.html

Share this post


Link to post
Share on other sites

Для этого и нужно скрывать админпанель, меняя ее имя в настройках

Любой модератор узнает новое имя админки и может творить что хочет!

ПРОБЛЕМА ПОЛНОСТЬЮ НЕ РЕШЕНА!!!

кто не верит могу продемонстрировать!!!! залогиненый админ на сайте - ПОТЕНЦИАЛЬНАЯ УГРОЗА!!!!

Share this post


Link to post
Share on other sites

Любой модератор узнает новое имя админки и может творить что хочет!

Что за воспаленный бред вы несете? во первых модератор не имеет практически никаких прав в админпанели кроме редактирования новостей. Во вторых у вас что все кто зарегистрировался имеет право модерирования? Модератор может нажать кнопку "Удалить новости" и ему ненужно ничего слать администратору чтобы что то удалить. У него есть на это права и без администратора.

Любой журналист может без модерации опубликовать новость: "Админ урод, сайт взломан" Вы уж головой маленько думайте кому вы даете доступ в админпанель, а кому нет.

С тем же успехом можно написать: "ПОМОГИТЕ ЛЮБОЙ ЖУРНАЛИСТ ПИШЕТ ПРО МЕНЯ ГАДОСТИ НА САЙТЕ, СКРИПТ НЕБЕЗОПАСЕН"

Share this post


Link to post
Share on other sites

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

Для этого и нужно скрывать админпанель, меняя ее имя в настройках, в новых версиях скрипта динамические ссылки в изображениях будут отключены.

Правильное исправление данной проблемы находится по адресу:

http://dle-news.ru/bags/v65/247-otkljuchen...h-ssylok-v.html

К сожалению после Этого Апдэйта все видео ролики с Ютуба(и не только) вставляемые по средством кода в Редакторе для Админа не отображаются...

Share this post


Link to post
Share on other sites

А код видеоролика какой?

Share this post


Link to post
Share on other sites

Думаю что в новой версии необходимо добавить запрос на подтверждение действий админа, тогда все проблемы будут сняты.

Share this post


Link to post
Share on other sites

MSK, точно, ну или удалять пользователей через AJAX а в исполняемом файле делать проверку вида

if($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')

Share this post


Link to post
Share on other sites

MSK, точно

Меня сразу напрягало, что все операции проходят без запроса на подтверждение (даже в phpbb замучают- ТОЧНО хочешь ЭТО сделать?)

Как на это раньше никто не обратил внимания...

Видимо - "всему свое время" :)

А нынешнее решение добавило массу проблем, в том числе и с заливкой картинок - модераторы уже запарили вопросами....

Share this post


Link to post
Share on other sites

А по поводу AJAX - админ должен иметь возможность управлять сайтом в любом месте.

Мне часто приходится использовать КПК, но в стандартных браузерах для КПК AJAX не поддерживается....

а также и ява :)

Share this post


Link to post
Share on other sites

MSK, вот я вчера подумал и решил что подтверждения это н епанацея от всех бед. После подтверждения ведь скрипт идёт по какому-то адресу и выполняет задачу. Этот адрес нам известен и с ним работаем.

Поэтому вопрос остался открытым)

Share this post


Link to post
Share on other sites

Поэтому вопрос остался открытым)

любое удаление через код подтверждения!

знаю, геморой будет дикий, зато безопасность будет намного выше!

пусть даже код будет не из пяти, а скажем из двух цифр, но и тогда процент случайного попадания один из сотни.

Share this post


Link to post
Share on other sites

Ребята придетcя немного потерпеть, в новой версии все вернется обратно, автоматическая авторизация и никаких подтверждений, т.к. подтверждения не решают проблемы. В новой версии скрипта каждый залогиненный пользователь получит уникальную контрольно-цифровую подпись, подделать которую невозможно, и выполнить любое действие можно только при наличи такой подписи.

если сейчас у вас или ваших модераторов происходит постоянное разлогинивание, то им нужно включить в своем брандмауэере поддержку REFERER, тогда разлогинивания в течении одной сессии не будет.

Share this post


Link to post
Share on other sites

любое удаление через код подтверждения!
вот это уже ближе к теме :)

получит уникальную контрольно-цифровую подпись, подделать которую невозможно
про многие вещи так говорили в своё время...

автоматическая авторизация и никаких подтверждений
в таком случае активация почтового ящика должна быть отдельно

Share this post


Link to post
Share on other sites

lifestar,

авторизация и регистрация вещи разные.

Share this post


Link to post
Share on other sites
автоматическая авторизация и никаких подтверждений
я извиняюсь, но о каких тогда подтверждениях идёт речь? Подтверждение авторизации? Не видел такого

Share this post


Link to post
Share on other sites

В свете всего выше написанног - когда ждать новую версию?

Т.к. это можно считать критическим обновлением.

Share this post


Link to post
Share on other sites

В свете всего выше написанног - когда ждать новую версию?

тогда когда будет готово

Т.к. это можно считать критическим обновлением.

обновление уже вышло http://dle-news.ru/bags/v65/252-obnovlenie...ti-skripta.html

Share this post


Link to post
Share on other sites

А код видеоролика какой?

как пример такой

<object width="425" height="355"><param name="movie" value="http://www.youtube.com/v/mf3NIPbZHYc&rel=1"></param><param name="wmode" value="transparent"></param><embed src="http://www.youtube.com/v/mf3NIPbZHYc&rel=1" type="application/x-shockwave-flash" wmode="transparent" width="425" height="355"></embed></object>

Share this post


Link to post
Share on other sites

celsoft,

А можно узнать хоть примерный срок выхода очередного релиза?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this