revix.ru 0 Опубликовано: 25 января 2008 Рассказать Опубликовано: 25 января 2008 вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости [img=http://site.ru/admin.php?mod=editusers&action=dodeleteuser&id=6406&user=kaiser] решение Итак: Открываем /engine/classes/parse.class.php (для версий ниже 6.3 файл /engine/inc/parse.class.php) 1. находим: return trim($txt); выше добавляем: if ( $wysiwig != "yes" ) { $txt = preg_replace ( "#[center][img=(.*?)(.php|.js)(.*?)][/center]#si", "", $txt ); $txt = preg_replace ( "#[img=(.+?)(.php|.js)(.+?)]#si", "", $txt ); $txt = preg_replace ( "#[img=(.+?)](.+?)(.php|.js)(.+?)[/img]#si", "", $txt ); $txt = preg_replace ( "#[center][thumb](.+?)(.php|.js)(.+?)[/thumb][/center]#si", "", $txt ); $txt = preg_replace ( "#[thumb](.+?)(.php|.js)(.+?)[/thumb]#si", "", $txt ); $txt = preg_replace ( "#[thumb=(.+?)](.+?)(.php|.js)(.+?)[/thumb]#si", "", $txt ); } 2. находим: return trim($source); выше добавляем $source = preg_replace ( "#[center][img=(.*?)(.php|.js)(.*?)][/center]#si", "", $source ); $source = preg_replace ( "#[img=(.+?)(.php|.js)(.+?)]#si", "", $source ); $source = preg_replace ( "#[img=(.+?)](.+?)(.php|.js)(.+?)[/img]#si", "", $source ); $source = preg_replace ( "#[center][thumb](.+?)(.php|.js)(.+?)[/thumb][/center]#si", "", $source ); $source = preg_replace ( "#[thumb](.+?)(.php|.js)(.+?)[/thumb]#si", "", $source ); $source = preg_replace ( "#[thumb=(.+?)](.+?)(.php|.js)(.+?)[/thumb]#si", "", $source ); Цитата Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 25 января 2008 Рассказать Опубликовано: 25 января 2008 Тота меня один тип спрашивал где взять ID пользователя , а оно вон оно что... Цитата Ссылка на сообщение Поделиться на других сайтах
ShVad 2 Опубликовано: 25 января 2008 Рассказать Опубликовано: 25 января 2008 В админке проверка рефера идет. где взять ID пользователя Нажать отправить сообщение - там и id будет. Цитата Ссылка на сообщение Поделиться на других сайтах
Gorets 3 Опубликовано: 25 января 2008 Рассказать Опубликовано: 25 января 2008 В админке проверка рефера идет. самое интересное, что сам админ удалит юзера, при просмотре такого текста ребята... а ведь эту ссылку можно подсунуть админу и через тег .... тут надо целсофту в срочном порядке пересматривать безопасность админки... как минимум перевести все важные входящие переменные с GET на POST Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 25 января 2008 Рассказать Опубликовано: 25 января 2008 вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости Для этого и нужно скрывать админпанель, меняя ее имя в настройках, в новых версиях скрипта динамические ссылки в изображениях будут отключены. Правильное исправление данной проблемы находится по адресу: http://dle-news.ru/bags/v65/247-otkljuchen...h-ssylok-v.html Цитата Ссылка на сообщение Поделиться на других сайтах
Gorets 3 Опубликовано: 26 января 2008 Рассказать Опубликовано: 26 января 2008 Для этого и нужно скрывать админпанель, меняя ее имя в настройках Любой модератор узнает новое имя админки и может творить что хочет! ПРОБЛЕМА ПОЛНОСТЬЮ НЕ РЕШЕНА!!! кто не верит могу продемонстрировать!!!! залогиненый админ на сайте - ПОТЕНЦИАЛЬНАЯ УГРОЗА!!!! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 26 января 2008 Рассказать Опубликовано: 26 января 2008 Любой модератор узнает новое имя админки и может творить что хочет! Что за воспаленный бред вы несете? во первых модератор не имеет практически никаких прав в админпанели кроме редактирования новостей. Во вторых у вас что все кто зарегистрировался имеет право модерирования? Модератор может нажать кнопку "Удалить новости" и ему ненужно ничего слать администратору чтобы что то удалить. У него есть на это права и без администратора. Любой журналист может без модерации опубликовать новость: "Админ урод, сайт взломан" Вы уж головой маленько думайте кому вы даете доступ в админпанель, а кому нет. С тем же успехом можно написать: "ПОМОГИТЕ ЛЮБОЙ ЖУРНАЛИСТ ПИШЕТ ПРО МЕНЯ ГАДОСТИ НА САЙТЕ, СКРИПТ НЕБЕЗОПАСЕН" Цитата Ссылка на сообщение Поделиться на других сайтах
alxumuk 0 Опубликовано: 28 января 2008 Рассказать Опубликовано: 28 января 2008 вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости Для этого и нужно скрывать админпанель, меняя ее имя в настройках, в новых версиях скрипта динамические ссылки в изображениях будут отключены. Правильное исправление данной проблемы находится по адресу: http://dle-news.ru/bags/v65/247-otkljuchen...h-ssylok-v.html К сожалению после Этого Апдэйта все видео ролики с Ютуба(и не только) вставляемые по средством кода в Редакторе для Админа не отображаются... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 28 января 2008 Рассказать Опубликовано: 28 января 2008 А код видеоролика какой? Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 28 января 2008 Рассказать Опубликовано: 28 января 2008 Думаю что в новой версии необходимо добавить запрос на подтверждение действий админа, тогда все проблемы будут сняты. Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 28 января 2008 Рассказать Опубликовано: 28 января 2008 MSK, точно, ну или удалять пользователей через AJAX а в исполняемом файле делать проверку видаif($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest') Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 28 января 2008 Рассказать Опубликовано: 28 января 2008 MSK, точно Меня сразу напрягало, что все операции проходят без запроса на подтверждение (даже в phpbb замучают- ТОЧНО хочешь ЭТО сделать?) Как на это раньше никто не обратил внимания... Видимо - "всему свое время" А нынешнее решение добавило массу проблем, в том числе и с заливкой картинок - модераторы уже запарили вопросами.... Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 28 января 2008 Рассказать Опубликовано: 28 января 2008 А по поводу AJAX - админ должен иметь возможность управлять сайтом в любом месте. Мне часто приходится использовать КПК, но в стандартных браузерах для КПК AJAX не поддерживается.... а также и ява Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 MSK, вот я вчера подумал и решил что подтверждения это н епанацея от всех бед. После подтверждения ведь скрипт идёт по какому-то адресу и выполняет задачу. Этот адрес нам известен и с ним работаем. Поэтому вопрос остался открытым) Цитата Ссылка на сообщение Поделиться на других сайтах
Gorets 3 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 Поэтому вопрос остался открытым) любое удаление через код подтверждения! знаю, геморой будет дикий, зато безопасность будет намного выше! пусть даже код будет не из пяти, а скажем из двух цифр, но и тогда процент случайного попадания один из сотни. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 Ребята придетcя немного потерпеть, в новой версии все вернется обратно, автоматическая авторизация и никаких подтверждений, т.к. подтверждения не решают проблемы. В новой версии скрипта каждый залогиненный пользователь получит уникальную контрольно-цифровую подпись, подделать которую невозможно, и выполнить любое действие можно только при наличи такой подписи. если сейчас у вас или ваших модераторов происходит постоянное разлогинивание, то им нужно включить в своем брандмауэере поддержку REFERER, тогда разлогинивания в течении одной сессии не будет. Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 любое удаление через код подтверждения!вот это уже ближе к теме получит уникальную контрольно-цифровую подпись, подделать которую невозможнопро многие вещи так говорили в своё время... автоматическая авторизация и никаких подтвержденийв таком случае активация почтового ящика должна быть отдельно Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 lifestar, авторизация и регистрация вещи разные. Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 автоматическая авторизация и никаких подтвержденийя извиняюсь, но о каких тогда подтверждениях идёт речь? Подтверждение авторизации? Не видел такого Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 В свете всего выше написанног - когда ждать новую версию? Т.к. это можно считать критическим обновлением. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 В свете всего выше написанног - когда ждать новую версию? тогда когда будет готовоТ.к. это можно считать критическим обновлением. обновление уже вышло http://dle-news.ru/bags/v65/252-obnovlenie...ti-skripta.html Цитата Ссылка на сообщение Поделиться на других сайтах
alxumuk 0 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 А код видеоролика какой? как пример такой <object width="425" height="355"><param name="movie" value="http://www.youtube.com/v/mf3NIPbZHYc&rel=1"></param><param name="wmode" value="transparent"></param><embed src="http://www.youtube.com/v/mf3NIPbZHYc&rel=1" type="application/x-shockwave-flash" wmode="transparent" width="425" height="355"></embed></object> Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 29 января 2008 Рассказать Опубликовано: 29 января 2008 &rel=1 убираем из ссылки и пробуем) Цитата Ссылка на сообщение Поделиться на других сайтах
n0lik 75 Опубликовано: 30 января 2008 Рассказать Опубликовано: 30 января 2008 celsoft, А можно узнать хоть примерный срок выхода очередного релиза? Цитата Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 30 января 2008 Рассказать Опубликовано: 30 января 2008 n0lik, нельзя! Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.