Vlasiclavka 0 Опубликовано: 23 июня 2009 Рассказать Опубликовано: 23 июня 2009 сегодня увидел в инете : Проблема: Недостаточная фильтрация входящих данных. Ошибка в версии: Все версии Степень опасности: Средняя Фикс: Открыть файл engine/inc/options.php Найти: $editfullname = $db->safesql( $_POST['editfullname'] ); Заменить на: $editfullname = $db->safesql( strip_tags($_POST['editfullname']) ); кто что сказать может ? реальная тема ? Цитата Ссылка на сообщение Поделиться на других сайтах
Hydrargyrum 2 Опубликовано: 24 июня 2009 Рассказать Опубликовано: 24 июня 2009 А сюда вы не заглядываете? http://dle-news.ru/bags/ Цитата Ссылка на сообщение Поделиться на других сайтах
Zedd 0 Опубликовано: 24 июня 2009 Рассказать Опубликовано: 24 июня 2009 Hydrargyrum, это не полный баг-фикс, полный тут: _http://dletweak.ru/bug-fix/1606-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html Если у Вас не много народу в админ-центр имеют доступ то он я думаю не очень нужен...чтоб понять что исправляете, в админке, в личных настройках в поле имени, icq или email введите <script>alert("Тут может быть код и пострашнее чем просто alert");</script> и потом зайдите в свой профиль на сайте Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 24 июня 2009 Рассказать Опубликовано: 24 июня 2009 это не полный баг-фикс, полный тут: _http://dletweak.ru/bug-fix/1606-nedostatochnaya-filtraciya-vxodyashhix-dannyx.htmlНа официальном сайте DLE не полная, а на левом сайте будет полная? Что за бред? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 24 июня 2009 Рассказать Опубликовано: 24 июня 2009 О данной проблеме мне давно известно, но она не получала статуса уязвимости, это обычная ошибка, а исправления по ошибкам вне версий не выходят, только вместе с новой версией. почему это не уязвмость: 1. Осуществление данной операции возможно только в админпанели, куда не имеют доступа посторонние лица, а те кто имеют доступ врядли это будут делать, т.к. в силу своего доступа могут осуществить куда более существенный вред при наличии умысла, т.к. минимум что они имеют это контроль над новостями в админпанели. 2. При использовании данной ошибки, нельза получить чужой доступ, например администраторский, и нельзя осуществить взлом сайта. Воизбежания вопросов почему, поясню: DLE использует защищенные куки, которые нельзя получить через JS. Цитата Ссылка на сообщение Поделиться на других сайтах
flo.mAster 7 Опубликовано: 25 июня 2009 Рассказать Опубликовано: 25 июня 2009 2. При использовании данной ошибки, нельза получить чужой доступ, например администраторский, и нельзя осуществить взлом сайта. Воизбежания вопросов почему, поясню: DLE использует защищенные куки, которые нельзя получить через JS. Если не секрет, как вы этого добились? Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.