Главная страница / Найденные ошибки / Недостаточная фильтрация входящих данных
сентябрь 25 2008

Недостаточная фильтрация входящих данных

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Средняя

Ручное исправление:

Откройте файл: engine/inc/functions.inc.php

найдите:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {

            if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

        }

    }

}


Замените на:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {

            if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

        }

    }

    $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, '\'') !== false)
           ) 
        {

            die("Hacking attempt!");

        }

    }

}


Откройте файл: engine/modules/functions.php

найдите:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");
        }

    }

}


Замените на:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");
        }

    }


    $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, '\'') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");

        }

    }

}

Дистрибутив версии 7.2 обновлен.

Комментарии

  1. Schulze (Клиенты)

    25 сентября 2008 14:19 7 комментариев
    Спасибо
  2. RedScorp (Клиенты)

    25 сентября 2008 14:43 10 комментариев
    Спасибо
  3. cyberdog (Посетители)

    25 сентября 2008 15:59 2 комментария
    Спасибо!
  4. sinTEZ (Посетители)

    25 сентября 2008 17:26 2 комментария
    10x fellow
  5. okai (Клиенты)

    25 сентября 2008 17:37 5 комментариев
    Прикрыл "дырочку" wink
  6. eph1r (Клиенты)

    25 сентября 2008 18:58 2 комментария
    Во время...
    Mercy! ;)
  7. pray (Клиенты)

    25 сентября 2008 20:00 24 комментария
    Спасибо. Поправил.
  8. WMDrakon (Клиенты)

    25 сентября 2008 20:08 141 комментарий
    Спасибо!
  9. alxumuk (Клиенты)

    25 сентября 2008 20:15 21 комментарий
    СПС! Пофиксил )
  10. XaoAsakura (Посетители)

    26 сентября 2008 08:28 16 комментариев
    Ммм...
    Милая уязвимость ^_^
    Спс за фикс
  11. Numismat (Клиенты)

    26 сентября 2008 10:00 5 комментариев
    Спасибо!
  12. Fun (Посетители)

    26 сентября 2008 10:23 22 комментария
    А это мне касаетца? Я вчера купил лицензию sad

    Извините не в тему! У меня вилетает вот это:
    Warning: Unknown: write failed: No space left on device (28) in Unknown on line 0 Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
    как поправить?
    спасибо
  13. celsoft (Администраторы)

    26 сентября 2008 11:04 4 132 комментария
    Цитата: Fun
    А это мне касаетца? Я вчера купил лицензию

    Если вы скачивали дистрибутив до того как была опубликована эта новость, то касается.
    Цитата: Fun
    Warning: Unknown: write failed: No space left on device (28) in Unknown on line 0 Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
    как поправить?

    обратится к хостеру, ошибка означает что нет места на диске
  14. Fun (Посетители)

    26 сентября 2008 11:20 22 комментария
    Спасибо огромное!
    И ещо.. по ходу сайт не раскирается в IE а опера раскривает?
  15. Sobachnik (Посетители)

    27 сентября 2008 03:29 2 комментария
    Спасибо! wink
  16. Alexli (Посетители)

    27 сентября 2008 10:27 15 комментариев
    СпасиБо !!!! Будим править!
  17. profiweb (Посетители)

    27 сентября 2008 18:07 12 комментариев
    Спасибо!
  18. Edward (Клиенты)

    27 сентября 2008 18:37 9 комментариев
    Так понимаю, в шапке обновлённого файла functions.php опечатка?

    =====================================================
    DataLife Engine - by SoftNews Media Group
    -----------------------------------------------------
    https://dle-news.ru/
    -----------------------------------------------------
    Copyright (c) 2004,2008 SoftNews Media Group
    =====================================================
    Данный код защищен авторскими правами
    =====================================================
    Файл: functions.inc.php
    -----------------------------------------------------
    Назначение: Основные функции
    =====================================================
  19. olezhka2008 (Клиенты)

    27 сентября 2008 21:29 3 комментария
    Спасибо celsoft!
  20. kacergei (Клиенты)

    29 сентября 2008 01:22 12 комментариев
    Спасибо!
  21. denka (Клиенты)

    30 сентября 2008 21:54 44 комментария
    спасибо, что всем хакерам сообщили о дырке what

    не думаю, что все посещают постоянно ваш сайт, чтобы вовремя принять меры. хоть бы емэйлы рассылали.
    нужно как-то улучшить оповещение клиентов о дырах и способах их латания. bully
  22. celsoft (Администраторы)

    1 октября 2008 02:21 4 132 комментария
    denka,
    нас ненужно посещать в вашей админпанели есть кнопка проверить наличие обновлений
  23. Vse-vsem (Клиенты)

    12 октября 2008 14:22 2 комментария
    Спасибо исправил!

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Декабрь 2024    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 

Опрос на сайте

Совершаете ли вы покупки в интернет?