Главная страница / Найденные ошибки / Отключение динамических ссылок в ссылках на изображения
январь 25 2008

Отключение динамических ссылок в ссылках на изображения

Уважаемые пользователи,

В целях повышения безопасности скрипта мы настроятельно рекомендуем установить патч, запрещающий использование динамических ссылок при добавлении картинок на сайт в новостях и комментариях. Данный патч предотвращает выполнение скриптов PHP/CGI при добавлении их в URL изображений.

Установка данного патча рекомендуется на все версии скрипта.

Дистрибутив версии 6.5 обновлен.

Скачать готовый патч для версии 6.5: У вас нет доступа к скачиванию файлов с нашего сервера

После скачивания патча, замените файл engine/classes/parse.class.php на файл из архива дистрибутива.

Ручное исправление для других версий скрипта отличных от версии 6.5:

Внимание!

Просмотр данной информации доступен только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом. Если срок вашей лицензии истек, то вы можете продлить ее в своем профиле на нашем сайте

Комментарии

  1. Kaiser (Посетители)

    25 января 2008 23:39 84 комментария
    Спасибо!
  2. sheff (Посетители)

    25 января 2008 23:41 86 комментариев
    спасибо! winked
  3. boxsterino (Посетители)

    26 января 2008 00:22 16 комментариев
    Thanks!
  4. Fillosoff (Клиенты)

    26 января 2008 01:21 33 комментария
    Благодарю!
  5. blagoy (Клиенты)

    26 января 2008 01:50 42 комментария
    спасибо!
  6. Adobe (Клиенты)

    26 января 2008 06:42 42 комментария
    Спасибо.
  7. Gorets (Клиенты)

    26 января 2008 08:06 25 комментариев
    это все только частично решает подобную проблему... ведь админу могут и по мылу прислать подобную ссылку, а могут и оформить просто через [url] в новости... и если админ случайно нажмет на такую ссылку, то последствия будут не из приятных...

    Нужно глобально пересматривать безопасность админки... как минимум все важные переменные передавать через POST... тогда хоть такие ссылки не будут срабатывать.
  8. exet (Клиенты)

    26 января 2008 09:05 43 комментария
    Gorets, Ну, это "случайным нажатием" можно что угодно сделать()
  9. eRED (Клиенты)

    26 января 2008 09:11 47 комментариев
    замечательно. патчимся :)
  10. ko1yan (Посетители)

    26 января 2008 09:14 9 комментариев
    Ага, только пусть сперва найдут мой admin.php =)
  11. pgi (Клиенты)

    26 января 2008 10:09 3 комментария
    Цитата: ko1yan
    Ага, только пусть сперва найдут мой admin.php =)


    Вот-вот! Не зря все-таки я воспользовался возможностью движка - поменять название файла admin.php :)
  12. celsoft (Администраторы)

    26 января 2008 10:10 4 132 комментария
    Цитата: ko1yan
    Ага, только пусть сперва найдут мой admin.php =)

    совершенно верно, политикой безопасности скрипта рекомендуется менять адрес админпанели скрипта.
  13. yugin (Посетители)

    26 января 2008 10:42 9 комментариев
    Это в админке просто название поменять и файл админки поменяется и косяков не будет или ещё где то что то прописывать надо?
  14. garibas (Клиенты)

    26 января 2008 11:03 20 комментариев
    спасибо
  15. vacheslav (Клиенты)

    26 января 2008 11:49 14 комментариев
    спасибо!
  16. mobilize (Посетители)

    26 января 2008 12:06 18 комментариев
    Спасибо
  17. dwell (Посетители)

    26 января 2008 12:49 7 комментариев
    Цитата: yugin
    Это в админке просто название поменять и файл админки поменяется и косяков не будет или ещё где то что то прописывать надо?

    Ага, тоже интересно. На самом деле я просто поменял и все вроде работает ):
  18. aerus (Посетители)

    26 января 2008 13:12 8 комментариев
    Спасибо!
  19. WMDrakon (Клиенты)

    26 января 2008 13:26 141 комментарий
    Спасибо!
  20. www.ru-portal.ru (Клиенты)

    26 января 2008 15:53 26 комментариев
    Цитата: dwell
    Это в админке просто название поменять и файл админки поменяется и косяков не будет или ещё где то что то прописывать надо?

    Ага, тоже интересно. На самом деле я просто поменял и все вроде работает ):

    нужно просто написать в настройках скрипта название файла и файл сам переименовать и всё
  21. LeKs (Посетители)

    26 января 2008 18:08 20 комментариев
    Спасибо, думаю стоит подумать в этом направлении, ведь сколько времени очень многие сайты были незащищены от такой фишки! Спасибо [Banned]_Nailez, по его словам он убил пару аккаунтов, вследствии чего защиту усилили!
  22. Виталий (Посетители)

    27 января 2008 01:17 8 комментариев
    Когда ждать новую версию, выше 6.5 ?
    с фиксами
  23. rob1n (Посетители)

    27 января 2008 03:40 6 комментариев
    Спасибо!
  24. ZippeR (Клиенты)

    27 января 2008 10:04 12 комментариев
    fellow
  25. baka (Посетители)

    27 января 2008 14:10 10 комментариев
    переименовываем admin.php в свой...
    admin.php оставляем..
    в нем редактируем пару строчек! чтобы когда кто-то ломанет пароли, ему все равно писало пароль не верный... lol Давно уже так делаю
  26. Sergey78 (Клиенты)

    27 января 2008 14:55 17 комментариев
    Цитата: baka
    переименовываем admin.php в свой...
    admin.php оставляем..
    в нем редактируем пару строчек! чтобы когда кто-то ломанет пароли, ему все равно писало пароль не верный... Давно уже так делаю

    выложил бы для всех, штука очень полезная.
  27. ComBo (Посетители)

    28 января 2008 09:41 45 комментариев
    спс
  28. pray (Клиенты)

    28 января 2008 14:55 24 комментария
    Согласен с baka проще реальный admin.php переименовать и создать липовый admin.php с какой то какой.

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Декабрь 2024    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 

Опрос на сайте

Совершаете ли вы покупки в интернет?