Перейти к публикации

Имя пользователя...


Рекомендованные сообщения

Столкнулся с таким приколом.

Регится юзер c именем "index.php?...."

и если включен ЧПУ, то при входе в профиль пользователя идет обращение к скрипту "../user/index.php..."

Естественно такая ситуация и с логином, который кончается на ".html"

Изменено пользователем MSK
Ссылка на сообщение
Поделиться на других сайтах

А в чем прикол, так и должно быть.

В "фильтр IP адреса, Логина или E-Mail" добавь *php, *html и такие пользователи не смогут регистрироваться.

Изменено пользователем Captain
Ссылка на сообщение
Поделиться на других сайтах

Такое решение я знаю.

Подобные вещи должны быть запрещены на уровне двига.

Ссылка на сообщение
Поделиться на других сайтах

Подобные вещи должны быть запрещены на уровне двига.

С чего вдруг? Что опасного в том что кто то сделал себе index.php кроме наличия идиотского логина? И что что в адресе будет стоять

и если включен ЧПУ, то при входе в профиль пользователя идет обращение к скрипту "../user/index.php..."

никаких скриптов по этому адресу нет и какое либо обращение по этому адресу ничего не дает. Можете просто набрать в URL в ручную http://dle-news.ru/user/index.php дальше что? Ничего. Не хотите идиотских логинов на своем сайте, добавляйте их в фильтр, но никакой опасности которую нужно фильтровать на уровне скрипта тут нет и быть не может

Ссылка на сообщение
Поделиться на других сайтах

Я не говорю об опасности, я говорю о том, что есть возможность в имени указать расширение файлов.

И дело не в идиотских логинах, может чел хочет логин index.php, но при включенном ЧПУ он никогда в свой профиль не попадет.

Ссылка на сообщение
Поделиться на других сайтах

может чел хочет логин index.php, но при включенном ЧПУ он никогда в свой профиль не попадет.

От того если скрипт будет блокировать, его хотение что ли пропадет? В наборе букв index.php нет ничего опасного что необходимо фильтровать. С тем же успехом можно запретить использование точек или латинских букв. Ни о один нормальный человек не будет использовать данный логин для обычного использования на сайте. Просто у вас хотели проверить выйдет из строя скрипт если использовать этот логин. Не вышел, просто автоматически заблокировал потенциально опасные действия. Причем не опасные, а потенциально опасные. Скрипт автоматически блокирует работу если в URL ему пытаются передать .php И в данном случае срабатывают автоматические превентивные меры (от неизвестных угроз) безопасности скрипта.

Ссылка на сообщение
Поделиться на других сайтах

Вы не с той позиции смотрите.

Раз челу было позволено зарегить такой логин, значит он должен иметь возможность его использовать....

Ну или по умолчанию, рекомендовать в фильтре ников прописывать подобные вещи.

Ссылка на сообщение
Поделиться на других сайтах

Вы не с той позиции смотрите.

Раз челу было позволено зарегить такой логин, значит он должен иметь возможность его использовать....

Нет, это вы не совсем понимаете. Сам скрипт позволяет использовать такие логины и может с ними прекрасно работать. И для самого скрипта это вполне допустимый профиль. Блокируют работу сайта превентивные меры безопасности от неизвестных угроз. Понимаете, от неизвестных, а не от известных. Вы можете отключить защиту от неизвестных угроз и использовать этот логин без проблем. Но вы теряете защиту от возможных неизвестных скрипту угроз.

Ссылка на сообщение
Поделиться на других сайтах

Вы можете отключить защиту от неизвестных угроз и использовать этот логин без проблем.

Если защита включена "по умолчанию", значит "по умолчанию" нельзя давать возможность регить такие ники.

Ссылка на сообщение
Поделиться на других сайтах

Если защита включена "по умолчанию", значит "по умолчанию" нельзя давать возможность регить такие ники.

я не могу внести исключения в модуль защиты от неизвестных угроз, в противном случае он тогда вообще не нужен, от него никакого толка не будет, как вы этого не понимаете. И если дать исключение, то этим исключением смогут воспользоваться для произведения неизвестной скрипту атаки. И если вам что то создает проблемы в этом модуле вы и вносите исключения в фильтр. Это одно из назначений этого фильтра. Фильтр для этого и дан, чтобы фильтровать ненужное.

Я если честно незнаю как вам это больше объяснить понятнее. Модуль регистрации не может фильтровать index.php т.к. напишут sdfkjnsbfd.php Модуль регистрации проверяет логины с которыми он не сможет работать, и с этими логинами он работать может.

Ссылка на сообщение
Поделиться на других сайтах

напишут sdfkjnsbfd.php Модуль регистрации проверяет логины с которыми он не сможет работать, и с этими логинами он работать может.

хорошо, написали isdfkjnsbfd.php

http://dle-news.ru/user/isdfkjnsbfd.php

ответ

"Hacking attempt!"

Ссылка на сообщение
Поделиться на других сайтах

Может я конечно чего то не нашел в админке, но, всетаки спрошу.

Вы можете отключить защиту от неизвестных угроз и использовать этот логин без проблем. Но вы теряете защиту от возможных неизвестных скрипту угроз.

Где это можно отключить в скрипте не меняя код?

И если вам что то создает проблемы в этом модуле вы и вносите исключения в фильтр.

Где такая возмжность в скрипте (не меняя код)?

Изменено пользователем spam
Ссылка на сообщение
Поделиться на других сайтах

Где такая возмжность в скрипте (не меняя код)?

сказано в самом первом сообщении Фильтр по: IP, Логину или E-Mail

хорошо, написали isdfkjnsbfd.php

http://dle-news.ru/user/isdfkjnsbfd.php

ответ

"Hacking attempt!"

И что? В чем проблема, мне непонятно. Я вам могу привести миллион таких URL, когда скрипт будет выдавать эту надпись

Ссылка на сообщение
Поделиться на других сайтах

Где такая возмжность в скрипте (не меняя код)?

сказано в самом первом сообщении Фильтр по: IP, Логину или E-Mail

Тогда сори, я вас неверо понял, я решил что речь идет о добавлении исклбючения в модуль защиты, т.е. не блокировать такой то урл.

Вы можете отключить защиту от неизвестных угроз и использовать этот логин без проблем. Но вы теряете защиту от возможных неизвестных скрипту угроз.

Где это можно отключить в скрипте не меняя код?

А здесь нужно правиь файл или будет в будущих версиях возможность настройки в админке?

Ссылка на сообщение
Поделиться на других сайтах

А здесь нужно правиь файл или будет в будущих версиях возможность настройки в админке?

это удаление одной строчки по желанию. В настройках скрипта этого не будет, т.к. небезопасно управлять этим из админпанели, админпанель может быть скомпрометирована, и тогда настройка может быть отключена, также если каким то образом на сервер попадет шелл, то также настройка может быть отключена и соответственно появиться цепочка событий, которая может привести к компрометации всего скрипта и сервера. А это небезопасно.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...