dle.in.ua » Баги » Обновление безопасности скрипта

Обновление безопасности скрипта

Автор: DImkA от 28-01-2008, 10:15
Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Высокая

Для исправления необходимо изменить файл админ панели(admin.php)!
найти:
require_once (ENGINE_DIR.'/inc/init.php');

ниже добавить:
if($is_loged_in AND $_SERVER['HTTP_REFERER'] == '' AND !$_SESSION['dle_name'] ) {

$is_loged_in = FALSE;

} elseif ($is_loged_in AND $_SERVER['HTTP_REFERER'] != '' AND strpos( strtolower($_SERVER['HTTP_REFERER']), $config['admin_path'] ) === false) {

$allow_mod = array("editusers", "editnews", "iptools", "blockip");
$allow_action = array("edituser", "editnews");

if ($config['extra_login']) $allow_mod[] = "";

if (in_array($_GET['mod'], $allow_mod)) {

if (($_GET['action'] AND !in_array($_GET['action'], $allow_action)) OR $_GET['ifdelete']) $is_loged_in = FALSE;

} else $is_loged_in = FALSE;

} elseif ($is_loged_in AND strpos( strtolower($_SERVER['HTTP_REFERER']), "mod=editnews" ) !== false) {

if (@strpos( $_SERVER['HTTP_REFERER'], $_GET['id'] ) === false AND count($_GET) > 2 AND $_GET['mod'] != "editnews") $is_loged_in = FALSE;

}

if (!$is_loged_in) {

@session_destroy();
@session_unset();

}
  • Группа: User
  • Icq: 499736
  • Комментариев: 85
  • Публикаций: 5
  • а можно описать поподробнее, пожалуйста...

    --------------------
    • kypbma
    • Регистрация: 3.02.2008
    • Репутация: (0|0|0)
    • 3 февраля 2008 22:41
    • 1
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • а можно поподробнее рассказать зачем ето? winked
    • DeNiS
    • Регистрация: --
    • Репутация: (||)
    • 14 марта 2008 14:08
    • 2
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • Да да, тоже не понял. Подробнее, пожалуйста
    • valet
    • Регистрация: --
    • Репутация: (||)
    • 26 марта 2008 23:29
    • 3
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • winked
    • lollol
    • Регистрация: --
    • Репутация: (||)
    • 25 апреля 2008 06:57
    • 4
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • Для дле 6.7 тоже надо?
    Спасибо!

    Успешно установил )
    • Iva
    • Регистрация: --
    • Репутация: (||)
    • 14 мая 2008 11:53
    • 5
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • А это случайно не прикол??? Я ставить эту фигню не буду. сомнительный кодик.
    Мож его выпустили чтоб было легче взломать сайт, а не защитить smile
    -------------------------
    У мя 7 версия стоит
    • Sergey16
    • Регистрация: --
    • Репутация: (||)
    • 5 августа 2008 15:50
    • 6
    ^
    Информация
    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.