Главная страница / Найденные ошибки / Обновление безопасности скрипта
январь 27 2008

Обновление безопасности скрипта

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Высокая

Для исправления необходимо открыть файл: admin.php

найти:
require_once (ENGINE_DIR.'/inc/init.php');


ниже добавить:
if($is_loged_in AND $_SERVER['HTTP_REFERER'] == '' AND !$_SESSION['dle_name'] ) {

     $is_loged_in = FALSE;

} elseif ($is_loged_in AND $_SERVER['HTTP_REFERER'] != '' AND strpos( strtolower($_SERVER['HTTP_REFERER']), $config['admin_path'] ) === false) {

    $allow_mod = array("editusers", "editnews", "iptools", "blockip");
    $allow_action = array("edituser", "editnews");

    if ($config['extra_login']) $allow_mod[] = "";

    if (in_array($_GET['mod'], $allow_mod)) {

        if (($_GET['action'] AND !in_array($_GET['action'], $allow_action)) OR $_GET['ifdelete']) $is_loged_in = FALSE;

    } else $is_loged_in = FALSE;

} elseif ($is_loged_in AND strpos( strtolower($_SERVER['HTTP_REFERER']), "mod=editnews" ) !== false) {

    if (@strpos( $_SERVER['HTTP_REFERER'], $_GET['id'] ) === false AND count($_GET) > 2 AND $_GET['mod'] != "editnews") $is_loged_in = FALSE;

}

if (!$is_loged_in) {

        @session_destroy();
        @session_unset();

}


Дистрибутив версии 6.5 обновлен.

Комментарии

  1. ComBo (Посетители)

    28 января 2008 09:41 45 комментариев
    спс исправляем = )
  2. celsoft (Администраторы)

    28 января 2008 10:33 4 031 комментарий
    Цитата: kolyann
    А после этого обновления сами юзеры тоже постоянно теряют свою сессию?

    нет, вы же только файл админпанели исправляете.
  3. LeKs (Посетители)

    28 января 2008 11:12 20 комментариев
    Это 5+ :) Безопасность это хорошо!
    ПС кто то подтирает мои камменты :(
  4. Hostl.Ru (Посетители)

    28 января 2008 11:22 8 комментариев
    Хотелось бы увидеть в новом реализе, сортировку "зафиксированных" новостей! А то приходится менять дату, чтобы новости встали как надо, что ни есть гуд.
  5. at (Клиенты)

    28 января 2008 11:52 43 комментария
    что-то зачастили багфиксы....

  6. ma3ca (Клиенты)

    28 января 2008 21:52 7 комментариев
    Заходишь в админку после установки данного патча, видишь форму для ввода имени и пароля администратора.
    Пишешь прямую ссылку на нужное действие (например http://(tvoi_domen.ru)/admin.php?mod=dboption) и уже не нужно ничего вводить, ты автоматически логинишься))
  7. plush (Клиенты)

    29 января 2008 10:09 6 комментариев
    Цитата: celsoft
    безопасность важнее.

    Согласен, это наверное самое важное и радует то, что эти обновления выкладываются laughing
  8. taganay (Клиенты)

    29 января 2008 14:47 69 комментариев
    При редактировании новостей после установки патча невозможно загрузить картинку в редактируемую новость.
  9. Hellik (Посетители)

    29 января 2008 14:56 32 комментария
    Обновились :)
  10. max21 (Клиенты)

    29 января 2008 15:19 13 комментариев
    А у меня не работает. После обновления все время надо логиниться, а войти не дает.
  11. celsoft (Администраторы)

    29 января 2008 16:01 4 031 комментарий
    max21,
    taganay,
    Отключите Firewall либо включите в настройках брандмауэра поддержку REFERER
  12. max21 (Клиенты)

    29 января 2008 22:27 13 комментариев
    У меня реферер передается.
  13. aleko (Клиенты)

    30 января 2008 09:32 8 комментариев
    Безопасность никогда не бывает лишней.
  14. Quate (Посетители)

    30 января 2008 11:00 6 комментариев
    Говорят обновление глючное: разлогинивается и не пускает.

    А если, вместо этого обновления, просто переименовать admin.php так что бы никто не догадался - не пойдёт?
  15. komnervov (Посетители)

    30 января 2008 13:28 7 комментариев
    Quate,
    Я тоже хочу услышать ответ на такой вопрос
  16. max21 (Клиенты)

    6 февраля 2008 09:55 13 комментариев
    Или блокировка по IP может помочь?
  17. EzS (Клиенты)

    6 февраля 2008 21:13 3 комментария
    Thanx a lot!
  18. BOOTKiller (Клиенты)

    16 февраля 2008 13:26 25 комментариев
    celsoft,
    Цитата: BOOTKiller
    У меня 4.2 версия. Там надоччто-нибудь менять?

    Ваша версия скрипта не считается безопасной и рекомендуется к обновлению, давно уже было пора, сколько времени прошло
    .
    мне придется неделю сидеть вносить изменения в движок что бы публикации выгляделе примерно так же как сейчас... смена чпу, модификации в самом скрипте

    еще 6.2 и 6.5 версии движков у меня стоят... тоже много изменений... ну что ты будешь делать...

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Март 2024    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
25262728293031

Опрос на сайте

Совершаете ли вы покупки в интернет?