MSK 289 Опубликовано: 18 января 2010 Рассказать Опубликовано: 18 января 2010 (изменено) Столкнулся с таким приколом. Регится юзер c именем "index.php?...." и если включен ЧПУ, то при входе в профиль пользователя идет обращение к скрипту "../user/index.php..." Естественно такая ситуация и с логином, который кончается на ".html" Изменено 18 января 2010 пользователем MSK Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 625 Опубликовано: 18 января 2010 Рассказать Опубликовано: 18 января 2010 (изменено) А в чем прикол, так и должно быть. В "фильтр IP адреса, Логина или E-Mail" добавь *php, *html и такие пользователи не смогут регистрироваться. Изменено 18 января 2010 пользователем Captain Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 18 января 2010 Рассказать Опубликовано: 18 января 2010 Автор Такое решение я знаю. Подобные вещи должны быть запрещены на уровне двига. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 18 января 2010 Рассказать Опубликовано: 18 января 2010 Подобные вещи должны быть запрещены на уровне двига. С чего вдруг? Что опасного в том что кто то сделал себе index.php кроме наличия идиотского логина? И что что в адресе будет стоять и если включен ЧПУ, то при входе в профиль пользователя идет обращение к скрипту "../user/index.php..." никаких скриптов по этому адресу нет и какое либо обращение по этому адресу ничего не дает. Можете просто набрать в URL в ручную http://dle-news.ru/user/index.php дальше что? Ничего. Не хотите идиотских логинов на своем сайте, добавляйте их в фильтр, но никакой опасности которую нужно фильтровать на уровне скрипта тут нет и быть не может Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 Автор Я не говорю об опасности, я говорю о том, что есть возможность в имени указать расширение файлов. И дело не в идиотских логинах, может чел хочет логин index.php, но при включенном ЧПУ он никогда в свой профиль не попадет. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 может чел хочет логин index.php, но при включенном ЧПУ он никогда в свой профиль не попадет. От того если скрипт будет блокировать, его хотение что ли пропадет? В наборе букв index.php нет ничего опасного что необходимо фильтровать. С тем же успехом можно запретить использование точек или латинских букв. Ни о один нормальный человек не будет использовать данный логин для обычного использования на сайте. Просто у вас хотели проверить выйдет из строя скрипт если использовать этот логин. Не вышел, просто автоматически заблокировал потенциально опасные действия. Причем не опасные, а потенциально опасные. Скрипт автоматически блокирует работу если в URL ему пытаются передать .php И в данном случае срабатывают автоматические превентивные меры (от неизвестных угроз) безопасности скрипта. Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 Автор Вы не с той позиции смотрите. Раз челу было позволено зарегить такой логин, значит он должен иметь возможность его использовать.... Ну или по умолчанию, рекомендовать в фильтре ников прописывать подобные вещи. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 Вы не с той позиции смотрите. Раз челу было позволено зарегить такой логин, значит он должен иметь возможность его использовать.... Нет, это вы не совсем понимаете. Сам скрипт позволяет использовать такие логины и может с ними прекрасно работать. И для самого скрипта это вполне допустимый профиль. Блокируют работу сайта превентивные меры безопасности от неизвестных угроз. Понимаете, от неизвестных, а не от известных. Вы можете отключить защиту от неизвестных угроз и использовать этот логин без проблем. Но вы теряете защиту от возможных неизвестных скрипту угроз. Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 Автор Вы можете отключить защиту от неизвестных угроз и использовать этот логин без проблем. Если защита включена "по умолчанию", значит "по умолчанию" нельзя давать возможность регить такие ники. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 Если защита включена "по умолчанию", значит "по умолчанию" нельзя давать возможность регить такие ники. я не могу внести исключения в модуль защиты от неизвестных угроз, в противном случае он тогда вообще не нужен, от него никакого толка не будет, как вы этого не понимаете. И если дать исключение, то этим исключением смогут воспользоваться для произведения неизвестной скрипту атаки. И если вам что то создает проблемы в этом модуле вы и вносите исключения в фильтр. Это одно из назначений этого фильтра. Фильтр для этого и дан, чтобы фильтровать ненужное. Я если честно незнаю как вам это больше объяснить понятнее. Модуль регистрации не может фильтровать index.php т.к. напишут sdfkjnsbfd.php Модуль регистрации проверяет логины с которыми он не сможет работать, и с этими логинами он работать может. Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 Автор напишут sdfkjnsbfd.php Модуль регистрации проверяет логины с которыми он не сможет работать, и с этими логинами он работать может. хорошо, написали isdfkjnsbfd.php http://dle-news.ru/user/isdfkjnsbfd.php ответ "Hacking attempt!" Цитата Ссылка на сообщение Поделиться на других сайтах
spam 11 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 (изменено) Может я конечно чего то не нашел в админке, но, всетаки спрошу. Вы можете отключить защиту от неизвестных угроз и использовать этот логин без проблем. Но вы теряете защиту от возможных неизвестных скрипту угроз. Где это можно отключить в скрипте не меняя код? И если вам что то создает проблемы в этом модуле вы и вносите исключения в фильтр. Где такая возмжность в скрипте (не меняя код)? Изменено 19 января 2010 пользователем spam Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 Где такая возмжность в скрипте (не меняя код)? сказано в самом первом сообщении Фильтр по: IP, Логину или E-Mail хорошо, написали isdfkjnsbfd.php http://dle-news.ru/user/isdfkjnsbfd.php ответ "Hacking attempt!" И что? В чем проблема, мне непонятно. Я вам могу привести миллион таких URL, когда скрипт будет выдавать эту надпись Цитата Ссылка на сообщение Поделиться на других сайтах
spam 11 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 Где такая возмжность в скрипте (не меняя код)? сказано в самом первом сообщении Фильтр по: IP, Логину или E-Mail Тогда сори, я вас неверо понял, я решил что речь идет о добавлении исклбючения в модуль защиты, т.е. не блокировать такой то урл. Вы можете отключить защиту от неизвестных угроз и использовать этот логин без проблем. Но вы теряете защиту от возможных неизвестных скрипту угроз. Где это можно отключить в скрипте не меняя код? А здесь нужно правиь файл или будет в будущих версиях возможность настройки в админке? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 19 января 2010 Рассказать Опубликовано: 19 января 2010 А здесь нужно правиь файл или будет в будущих версиях возможность настройки в админке? это удаление одной строчки по желанию. В настройках скрипта этого не будет, т.к. небезопасно управлять этим из админпанели, админпанель может быть скомпрометирована, и тогда настройка может быть отключена, также если каким то образом на сервер попадет шелл, то также настройка может быть отключена и соответственно появиться цепочка событий, которая может привести к компрометации всего скрипта и сервера. А это небезопасно. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.