Главная страница / Найденные ошибки / Недостаточная фильтрация входящих данных
сентябрь 25 2008

Недостаточная фильтрация входящих данных

celsoft 25 сентября 2008 Найденные ошибки 14 054
23 комментария
Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Средняя

Ручное исправление:

Откройте файл: engine/inc/functions.inc.php

найдите:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {

            if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

        }

    }

}


Замените на:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {

            if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

        }

    }

    $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, '\'') !== false)
           ) 
        {

            die("Hacking attempt!");

        }

    }

}


Откройте файл: engine/modules/functions.php

найдите:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");
        }

    }

}


Замените на:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");
        }

    }


    $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, '\'') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");

        }

    }

}

Дистрибутив версии 7.2 обновлен.
77

Комментарии

  1. 0

    Schulze (Клиенты)

    25 сентября 2008 14:19 7 комментариев
    Спасибо
    Жалоба
  2. 0

    RedScorp (Клиенты)

    25 сентября 2008 14:43 10 комментариев
    Спасибо
    Жалоба
  3. 0

    cyberdog (Посетители)

    25 сентября 2008 15:59 2 комментария
    Спасибо!
    Жалоба
  4. 0

    sinTEZ (Посетители)

    25 сентября 2008 17:26 2 комментария
    10x fellow
    Жалоба
  5. 0

    okai (Клиенты)

    25 сентября 2008 17:37 5 комментариев
    Прикрыл "дырочку" wink
    Жалоба
  6. 0

    eph1r (Клиенты)

    25 сентября 2008 18:58 2 комментария
    Во время...
    Mercy! ;)
    Жалоба
  7. 0

    pray (Клиенты)

    25 сентября 2008 20:00 24 комментария
    Спасибо. Поправил.
    Жалоба
  8. 0

    WMDrakon (Клиенты)

    25 сентября 2008 20:08 141 комментарий
    Спасибо!
    Жалоба
  9. 0

    alxumuk (Клиенты)

    25 сентября 2008 20:15 21 комментарий
    СПС! Пофиксил )
    Жалоба
  10. 0

    XaoAsakura (Посетители)

    26 сентября 2008 08:28 16 комментариев
    Ммм...
    Милая уязвимость ^_^
    Спс за фикс
    Жалоба
  11. 0

    Numismat (Клиенты)

    26 сентября 2008 10:00 5 комментариев
    Спасибо!
    Жалоба
  12. 0

    Fun (Посетители)

    26 сентября 2008 10:23 22 комментария
    А это мне касаетца? Я вчера купил лицензию sad

    Извините не в тему! У меня вилетает вот это:
    Warning: Unknown: write failed: No space left on device (28) in Unknown on line 0 Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
    как поправить?
    спасибо
    Жалоба
  13. 0

    celsoft (Администраторы)

    26 сентября 2008 11:04 4 033 комментария
    Цитата: Fun
    А это мне касаетца? Я вчера купил лицензию

    Если вы скачивали дистрибутив до того как была опубликована эта новость, то касается.
    Цитата: Fun
    Warning: Unknown: write failed: No space left on device (28) in Unknown on line 0 Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
    как поправить?

    обратится к хостеру, ошибка означает что нет места на диске
    Жалоба
  14. 0

    Fun (Посетители)

    26 сентября 2008 11:20 22 комментария
    Спасибо огромное!
    И ещо.. по ходу сайт не раскирается в IE а опера раскривает?
    Жалоба
  15. 0

    Sobachnik (Посетители)

    27 сентября 2008 03:29 2 комментария
    Спасибо! wink
    Жалоба
  16. 0

    Alexli (Посетители)

    27 сентября 2008 10:27 15 комментариев
    СпасиБо !!!! Будим править!
    Жалоба
  17. 0

    profiweb (Посетители)

    27 сентября 2008 18:07 12 комментариев
    Спасибо!
    Жалоба
  18. 0

    Edward (Клиенты)

    27 сентября 2008 18:37 9 комментариев
    Так понимаю, в шапке обновлённого файла functions.php опечатка?

    =====================================================
    DataLife Engine - by SoftNews Media Group
    -----------------------------------------------------
    https://dle-news.ru/
    -----------------------------------------------------
    Copyright (c) 2004,2008 SoftNews Media Group
    =====================================================
    Данный код защищен авторскими правами
    =====================================================
    Файл: functions.inc.php
    -----------------------------------------------------
    Назначение: Основные функции
    =====================================================
    Жалоба
  19. 0

    olezhka2008 (Клиенты)

    27 сентября 2008 21:29 3 комментария
    Спасибо celsoft!
    Жалоба
  20. 0

    kacergei (Клиенты)

    29 сентября 2008 01:22 12 комментариев
    Спасибо!
    Жалоба
  21. 0

    denka (Клиенты)

    30 сентября 2008 21:54 44 комментария
    спасибо, что всем хакерам сообщили о дырке what

    не думаю, что все посещают постоянно ваш сайт, чтобы вовремя принять меры. хоть бы емэйлы рассылали.
    нужно как-то улучшить оповещение клиентов о дырах и способах их латания. bully
    Жалоба
  22. 0

    celsoft (Администраторы)

    1 октября 2008 02:21 4 033 комментария
    denka,
    нас ненужно посещать в вашей админпанели есть кнопка проверить наличие обновлений
    Жалоба
  23. 0

    Vse-vsem (Клиенты)

    12 октября 2008 14:22 2 комментария
    Спасибо исправил!
    Жалоба

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Разделы

Календарь

«    Апрель 2024    »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930 

Опрос на сайте

Совершаете ли вы покупки в интернет?

Облако тегов

Cloudflare Nginx Монетизация Плагины Релизы Советы Шаблоны

Популярное