Главная страница / Найденные ошибки / Недостаточная фильтрация входящих данных
ноябрь 11 2008

Недостаточная фильтрация входящих данных

celsoft 11 ноября 2008 Найденные ошибки 19 302
31 комментарий
Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Средняя

Ручное исправление:

Откройте файл: engine/classes/parse.class.php

найдите:
        $find= array(
                    '/about:/si',
                    '/vbscript:/si',
                    "'\[quote\]'si",
                    "'\[quote=(.+?)\]'si",
                    "'\[/quote\]'si",
                    );

        $replace=array(
                      "about<b></b>:",
                      "vbscript<b></b>:",
                      "<!--QuoteBegin--><div class=\"quote\"><!--QuoteEBegin-->",
                      "<!--QuoteBegin \\1 --><div class=\"title_quote\">{$lang['i_quote']} \\1</div><div class=\"quote\"><!--QuoteEBegin-->",
                      "<!--QuoteEnd--></div><!--QuoteEEnd-->",
                      );

замените на:
        $find= array(
                    '/about:/i','/vbscript:/i','/onclick/i','/onload/i','/onunload/i','/onabort/i',
                    '/onerror/i','/onblur/i','/onchange/i','/onfocus/i','/onreset/i','/onsubmit/i',
                    '/ondblclick/i','/onkeydown/i','/onkeypress/i','/onkeyup/i','/onmousedown/i',
                    '/onmouseup/i','/onmouseover/i','/onmouseout/i','/onselect/i','/javascript/i',
                    "'\[quote\]'si",
                    "'\[quote=(.+?)\]'si",
                    "'\[/quote\]'si",
                    );

        $replace=array(
                      "about:","vbscript<b></b>:","onclick","onload","onunload",
                      "onabort","onerror","onblur","onchange","onfocus",
                      "onreset","onsubmit","ondblclick","onkeydown","onkeypress",
                      "onkeyup","onmousedown","onmouseup","onmouseover",
                      "onmouseout","onselect","javascript",
                      "<!--QuoteBegin--><div class=\"quote\"><!--QuoteEBegin-->",
                      "<!--QuoteBegin \\1 --><div class=\"title_quote\">{$lang['i_quote']} \\1</div><div class=\"quote\"><!--QuoteEBegin-->",
                      "<!--QuoteEnd--></div><!--QuoteEEnd-->",
                      );

Дистрибутив версии 7.3 обновлен.
82

Комментарии

  1. 0

    www.ru-portal.ru (Клиенты)

    11 ноября 2008 13:42 26 комментариев
    луче обновиться из дистрибьюва так как здесь парсер пожрал символы
    Жалоба
  2. 0

    Zergio (Клиенты)

    11 ноября 2008 14:04 19 комментариев
    Лучше проводить полноценное тестирование перед выпуском новых версий. А то что не версия, то не версия, каждый выпуск с ошибками.
    Жалоба
  3. 0

    celsoft (Администраторы)

    11 ноября 2008 16:10 4 033 комментария
    Zergio,
    Вы внимательно читаете?
    Ошибка в версии: все версии

    В следующий раз обязательно сделаю персонально для вас, чтобы вы видели исправления только после выхода новых версий
    Жалоба
  4. 0

    ra1 (Клиенты)

    11 ноября 2008 18:53 19 комментариев
    В следующий раз обязательно сделаю персонально для вас, чтобы вы видели исправления только после выхода новых версий


    )))

    celsoft

    пасиб
    Жалоба
  5. 0

    pray (Клиенты)

    11 ноября 2008 19:02 24 комментария
    Спасибо. Обновился smile
    Жалоба
  6. 0

    XaoAsakura (Посетители)

    12 ноября 2008 01:41 16 комментариев
    Неее... я буду до последнего ждать 7.4
    А то надоело апдейты каждую неделю ставить >_<
    Может в 7.4 (или 7.5) будет что ни будь интересное, как установка и удаление модов +_+
    Жалоба
  7. 0

    Useroff (Клиенты)

    12 ноября 2008 05:59 14 комментариев
    Спс, ща обновлюсь)
    Жалоба
  8. 0

    citysmile.ru (Клиенты)

    12 ноября 2008 08:27 1 комментарий
    Спасиб, исправляем :))
    Жалоба
  9. 0

    Phanas (Посетители)

    12 ноября 2008 10:09 13 комментариев
    Спасибо исправил wink
    Жалоба
  10. 0

    NoNameZ (Посетители)

    12 ноября 2008 15:16 26 комментариев
    celsoft,
    Если можно,в новой версии организуй такую функцию что бы скрипт 1 раз вдень проверял наличиее баг-фиксов на сайте,и при заходи на сайт в админки выскакивал,или персональным сообщением сообщал.Ну тобишь я как понимаю,не все сюда каждый день заходят,думаю будит очень полезная вещь!

    Цитата: XaoAsakura
    Неее... я буду до последнего ждать 7.4 А то надоело апдейты каждую неделю ставить >_<Может в 7.4 (или 7.5) будет что ни будь интересное, как установка и удаление модов +_+

    по мне это полная ненужность....к примеру там тебе вместо мода могут шел сунуть или еще что-то,уж лучше ручками ставить.
    Жалоба
  11. 0

    MVFedosov (Клиенты)

    12 ноября 2008 18:43 5 комментариев
    Также предлагаю сделать рассылку клиентам, при публикации важного баг-фикса. Заходить на сайт каждую неделю совсем не удобно. Спасибо.
    Жалоба
  12. 0

    Useroff (Клиенты)

    12 ноября 2008 22:10 14 комментариев
    Если можно,в новой версии организуй такую функцию что бы скрипт 1 раз вдень проверял наличиее баг-фиксов на сайте,и при заходи на сайт в админки выскакивал,или персональным сообщением сообщал.Ну тобишь я как понимаю,не все сюда каждый день заходят,думаю будит очень полезная вещь!

    Потдерживаю.
    Жалоба
  13. 0

    celsoft (Администраторы)

    12 ноября 2008 22:17 4 033 комментария
    Useroff,
    MVFedosov,
    Не нужно постоянно заходить на сайт в админпанели у вас есть кнопка "Проверить обновления"
    Жалоба
  14. 0

    openaz (Клиенты)

    13 ноября 2008 06:02 1 комментарий
    Один вопрос : после того как я заменил нужный код указанным на сайте кодом , заметил
    как-будто часто вылетает из сайта. Обычно раньше закрывал браузер , через некоторое время открывал и я был залогонен , а сейчас часто приходиться логониться .
    Это может быть из-за этого ?
    Жалоба
  15. 0

    celsoft (Администраторы)

    13 ноября 2008 07:21 4 033 комментария
    openaz,
    Никакое отношение к этому данное исправление не имеет, и не может иметь принципиально
    Жалоба
  16. 0

    Eric Draven (Клиенты)

    13 ноября 2008 11:34 21 комментарий
    А что изменится после этого исправления?
    Жалоба
  17. 0

    celsoft (Администраторы)

    13 ноября 2008 11:47 4 033 комментария
    Цитата: Eric Draven
    А что изменится после этого исправления?

    Ничего не изменится, а что должно изменится? Улучшится фильтрация данных и не более того
    Жалоба
  18. 0

    Zergio (Клиенты)

    13 ноября 2008 14:47 19 комментариев
    Цитата: celsoft
    Zergio, Вы внимательно читаете?
    Ошибка в версии: все версии
    В следующий раз обязательно сделаю персонально для вас, чтобы вы видели исправления только после выхода новых версий

    Я так понимаю ошибка недостаточной фильтрации, которая присутсвует во всех версиях является изначальной, тянущаяся уже более n-го количества лет.
    Далеко ходить не надо, недостаточная фильтрация была для версий 6.5, 7.0, 7.2, 7.3. Напрашивается вывод: либо разработчик допускает ошибки при создании новых версий, что ставит под сомнение его квалифицированность, либо уже несколько лет все никак не залатает код.
    Вот и обьясните лично мне персонально, что за все годы нельзя было провести полноценное тестирование на всевозможные баги, дырки, недостаточную фильтрацию и прочее? И почему такие вещи находятся после выхода финальной версии, а не посредственно до ее выпуска? Спешим куда-то?

    Fixp,
    Я посмотрю какой ты будешь благодарный если купишь машину (к примеру), а там недостаточная фильтрация данных с датчиков, и при аварии подушка не сработает?
    Жалоба
  19. 0

    clip4you (Посетители)

    13 ноября 2008 15:50 10 комментариев
    Не нужно постоянно заходить на сайт в админпанели у вас есть кнопка "Проверить обновления"


    Честно говоря становится не удобно, каждый день, а то и по нескольку раз тыкать на кнопку, вот сегодня уже просто так тыкнул, и вот есть обновление, я то же думаю, что было бы не плохо, что бы это дело как то автоматизирывать, ну окей, не при каждом входе в админку вести проверку,ну хотя бы раз в неделю что ли? ну и оставить конечно ручную проверку....
    спасибо.

    Я так понимаю ошибка недостаточной фильтрации, которая присутсвует во всех версиях является изначальной, тянущаяся уже более n-го количества лет.
    Далеко ходить не надо, недостаточная фильтрация была для версий 6.5, 7.0, 7.2, 7.3. Напрашивается вывод: либо разработчик допускает ошибки при создании новых версий, что ставит под сомнение его квалифицированность, либо уже несколько лет все никак не залатает код.
    Вот и обьясните лично мне персонально, что за все годы нельзя было провести полноценное тестирование на всевозможные баги, дырки, недостаточную фильтрацию и прочее? И почему такие вещи находятся после выхода финальной версии, а не посредственно до ее выпуска? Спешим куда-то?

    Fixp,
    Я посмотрю какой ты будешь благодарный если купишь машину (к примеру), а там недостаточная фильтрация данных с датчиков, и при аварии подушка не сработает?


    Я считаю так, что машину человек выбирает себе сам, и в данном случае у вас есть выбор, кататься на этом двиге или купить другой.
    Я лично считаю, что это большой ПЛЮС, что Владимир находит ошибки,значит он работает, и залатать всё невозможно, потому что каждый день, а может и мин./сек создаются новые лазейки для ломания сайов, так что я считаю ваше замечание или притензия неочень уместна по этому поводу.
    Жалоба
  20. 0

    celsoft (Администраторы)

    13 ноября 2008 17:07 4 033 комментария
    Цитата: Zergio
    Я так понимаю ошибка недостаточной фильтрации, которая присутсвует во всех версиях является изначальной, тянущаяся уже более n-го количества лет.

    Понятие Недостаточная фильтрация входящих данных не значит что это одна и таже ошибка, в одном и том же месте, это общее понятие по всему скрипту и в чем заключается ошибка не раскрывается, для вашей же безопасности.

    И это не значит что она тянется много версий и не исправляется, ошибка исправлена в течении часа после того как о ней стало известно, а на ее нахождение хакерами потребовались годы. Делайте выводы, раз вы любите их делать.

    Теперь открываем раздел по уязвимостям: https://dle-news.ru/bags/ за год была обнаружена только одна уязвимость, позволяющая привести к взлому сайта, т.к. ошибки со степенью опасности средняя непозволяют произвести взлом, максимум что они могут это провести alert невнимательному администратору, только высокая степень опасности позволяет произвести взлом.
    Цитата: Zergio
    Вот и обьясните лично мне персонально, что за все годы нельзя было провести полноценное тестирование на всевозможные баги, дырки, недостаточную фильтрацию и прочее? И почему такие вещи находятся после выхода финальной версии, а не посредственно до ее выпуска? Спешим куда-то?

    Вот вы мне объясните почему ежемесячно для Windows выходят многочисленные обновления безопасности? Общий вес всех обновлений, раза в три уже превышает обьем первоначального дистрибутива. Там что тоже одни новички сидят, которые не смыслят в програмировании, или они куда то спешат? Ладно оставим Windows, покажите мне хоть один скрипт где не вышло ниодного обновления безопасности? Нет таких. Знаете почему? Потому что бог один и скриптов он не пишет, а все остальные это люди. Для начала попробуйте что либо создать в своей жизни, а потом уже пишите про чужую компетентность.
    Я посмотрю какой ты будешь благодарный если купишь машину (к примеру), а там недостаточная фильтрация данных с датчиков, и при аварии подушка не сработает?

    Запомните одно, что уязвимость это не ошибка в работе, это умышленное нарушение работы. И если сравнивать с машиной это тоже самое что сначала отковырять подушку безопасности, а потом придти к производителю и заявить претензию о том что она не сработала. Поэтому не нужно приводить больше глупые и неккоректные сравнения из разных опер

    И на последок почитайте лицензионное соглашение, которое вы даже не удосужились прочитать https://dle-news.ru/agb.html и его раздел Ограничение гарантийных обязательств
    Жалоба
  21. 0

    NoNameZ (Посетители)

    13 ноября 2008 17:10 26 комментариев
    ксс короче говоря )))
    Жалоба
  22. 0

    1st (Клиенты)

    13 ноября 2008 17:22 3 комментария
    Забавно - как в сериале всегда есть недовольный))
    Хотя нам на экономике ещё в школе говорили, что всегда в любой ситуации в любой стране будут очень богатые и нищие. Тоже самое и в психологии))) Да что там говорить все сайты клиентов в топе, а 1 в ж...е))) fellow
    А ещё как вам сайт про ауди)? Точнее ауди клуб пытаюсь сделать http://audi-quattro.ru/
    Жалоба
  23. 0

    bayanay (Клиенты)

    18 ноября 2008 09:52 2 комментария
    $replace=array(
    "about:","vbscript<b></b>:","
    1;nclick","onload","onunload",
    "onabort","onerror","onblur",
    "onchange","onfocus",
    "onreset","onsubmit","ondblclick&q
    uot;,"onkeydown","onkeypress",
    "onkeyup","onmousedown","onmouseup
    ","onmouseover",
    "onmouseout","onselect","javascript
    ",
    "<!--QuoteBegin--><div class=\"quote\"><!--QuoteEBegin-->",
    "<!--QuoteBegin \\1 --><div class=\"title_quote\">{$lang['i_quote']} \\1</div><div class=\"quote\"><!--QuoteEBegin-->",
    "<!--QuoteEnd--></div><!--QuoteEEnd-->",
    );


    я не понял, сначало думал это корозяблики из-за парсера, пришлось потратить 2 мб внешки трафика, чтобы скачать обновленный 7.3 смотрю, в коде тоже самое, так и должно быть?
    Жалоба
  24. 0

    celsoft (Администраторы)

    18 ноября 2008 10:27 4 033 комментария
    Цитата: bayanay
    я не понял, сначало думал это корозяблики из-за парсера, пришлось потратить 2 мб внешки трафика, чтобы скачать обновленный 7.3 смотрю, в коде тоже самое, так и должно быть?

    Ну а как вы думаете если это написано в новости?
    Жалоба
  25. 0

    777 (Посетители)

    23 ноября 2008 13:25 7 комментариев
    Цитата: celsoft
    Не нужно постоянно заходить на сайт в админпанели у вас есть кнопка "Проверить обновления"


    Да, но если установлена не последняя версия скрипта, что же мы получим, а вот что:

    Вы используете устаревшую версию скрипта 7.X

    Скачать новую версию скрипта можно по адресу DataLife Engine v.7.3


    И не более. Про необходимость обновлений мне объяснять не надо, я не вижу просто нужды в обновлении, все что было улучшено в ядре движка, я поставлю и так, а остальное мне не нужно. Так что вот Вам и ответ.
    Жалоба
  26. 0

    sb0y (Посетители)

    2 декабря 2008 14:14 2 комментария
    Заметил глюк парсера.
    При написании таких кавычек " пытается зачем-то экранировать, добавляя символ \
    Сразу скажу, что в коде я ковырялся и мог напортачить, но баг репорт на всякий случай всё равно отсылаю.

    У меня одного это?
    Жалоба
  27. 0

    luko (Посетители)

    11 декабря 2008 20:05 3 комментария
    Этот баг или проблема фильтрации очень своевременна если разобраться, что все изменяется очень быстро. Дело не в более ранних или поздних версиях бага или кода.
    Раньше не глобально таки было. Сейчас при новых языках и технологиях актуально. Так что радуйтесь и если хотите спокойно жить потратьте ровно две три минуты на корректировку ручками. Спасибо и тому кто нашел уязвимость и кто разместил как устранить на сайте.
    И еще скачивая версию 7.3 для чего то полезла исправлять. А ведь черным по белому скромно так было написано что там то исправлено.

    Предложение по исправлению выделять жирным или другим шрифтом что в новых версиях и релизах уже все исправлено. А то не совсем ясно что при полной замене это уже есть в 7.3.
    Спасибо.
    Жалоба
  28. 0

    Discovery (Посетители)

    12 декабря 2008 16:01 4 комментария
    А можно просто заменить файл из дистрибутива на исправленный? Проблем в работе не будет?
    Жалоба
  29. 0

    okai (Клиенты)

    18 декабря 2008 20:38 5 комментариев
    Прикрыл "дырочки" Благодарю
    Жалоба
  30. 0

    Sh1ning (Посетители)

    24 декабря 2008 03:55 20 комментариев
    Спасибо, обновил файл.
    Жалоба
1 2

Информация

Возможность комментирования данной публикации было отключена.

Разделы

Календарь

«    Апрель 2024    »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930 

Опрос на сайте

Совершаете ли вы покупки в интернет?

Облако тегов

Cloudflare Nginx Монетизация Плагины Релизы Советы Шаблоны

Популярное