kuller 0 Опубликовано: 23 февраля 2013 Рассказать Опубликовано: 23 февраля 2013 Второй день бьюсь с данной проблемой. Если в адресе прописать <script>alert("cookie: "+document.cookie)</script> (работает практическе везде) Данный код сробатывает. Если прописать просто в alert произвольный текст, то двиг блогирует запрос. Также страница профиля. Если в subaction подставить js код он тоже работает. Если отключить чпу, то защита работает. Почему та subaction не проходит проверки при включеном чпу. Почему так получается? (это октуально во всех версиях движка.) Пробывал много вариантов для исправления. Один из них который должен работать, но почему та не сробатывает. функция check_xss() добавил || (strpos($url, '"script"') !== false) также в эту же функцию прописывал if(preg_match("/script|http|<|>|<|>|SELECT|UNION|UPDATE|exe|exec|INSERT|tmp/i", $url)){die("Hacking attempt!");} и еще много чего перепробывал. Все без результата. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 23 февраля 2013 Рассказать Опубликовано: 23 февраля 2013 Ничего непонятно. Куда вы что прописываете и что у вас работает? Ссылку на конретную страницу дайте, по которой у вас срабатывает <script>alert("cookie: "+document.cookie)</script> Цитата Ссылка на сообщение Поделиться на других сайтах
kuller 0 Опубликовано: 23 февраля 2013 Рассказать Опубликовано: 23 февраля 2013 Автор Сайт стоит на компе. Сейчас посмотрел у вас на демо версии, все нормально работает. Теперь фообще ничего не понимаю почему тогда у меня сробатывает. Попробывал в htaccess задать ошибку на 404 теперь если в конец url поставлять <script>alert("cookie: "+document.cookie)</script> то соотвествено на 404 страницу кидает. А вот subaction почему та все равно не проверяется. Вообщем похоже причина в настройке сервера.... (без 404 ошибки у меня код сробатывал.) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 23 февраля 2013 Рассказать Опубликовано: 23 февраля 2013 Вероятно вы пользуетесь неоригинальными файлами скрипта, потому как код <script>alert("cookie: "+document.cookie)</script> не должен выполняться нигде и никогда и ни при каких настройках сервера. Цитата Ссылка на сообщение Поделиться на других сайтах
kuller 0 Опубликовано: 23 февраля 2013 Рассказать Опубликовано: 23 февраля 2013 (изменено) Автор Вероятно вы пользуетесь неоригинальными файлами скрипта, потому как код <script>alert("cookie: "+document.cookie)</script> не должен выполняться нигде и никогда и ни при каких настройках сервера. В данный момент я смотрю демо версию, скаченую с вашего сайта. Версия 9.7 Думал лицензию взять, но пока не знаю... Изменено 23 февраля 2013 пользователем kuller Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 23 февраля 2013 Рассказать Опубликовано: 23 февраля 2013 В данный момент я смотрю демо версию, скаченую с вашего сайта. Версия 9.7 Думал лицензию взять, но пока не знаю... Вообще то в демоверсии исходный код закрыт, а вы там судя по всему производите какие то действия над файлами, редактируете их. Вы точно не демоверсией пользуетесь. И я вас попросил конкретный URL, который вы пишите в браузере после чего у вас выполняется JS код и вы видите в браузере куки, потому как данный код, если он выполняется, должен показать куки браузера. Цитата Ссылка на сообщение Поделиться на других сайтах
kuller 0 Опубликовано: 23 февраля 2013 Рассказать Опубликовано: 23 февраля 2013 Автор тогда я наверно путаю... в нем только ini зашифрован..... Тему можно закрыть. Только у меня еще вопрос. После оплаты лицензии, в течении какого времяни я получу скрипт? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 23 февраля 2013 Рассказать Опубликовано: 23 февраля 2013 После оплаты лицензии, в течении какого времяни я получу скрипт? сразу автоматически, как только оплата будет получена. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.