/ / / Недостаточная фильтрация входящих данных
сентябрь 25 2008

Недостаточная фильтрация входящих данных

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Средняя

Ручное исправление:

Откройте файл: engine/inc/functions.inc.php

найдите:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {

            if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

        }

    }

}


Замените на:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {

            if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

        }

    }

    $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, '\'') !== false)
           ) 
        {

            die("Hacking attempt!");

        }

    }

}


Откройте файл: engine/modules/functions.php

найдите:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");
        }

    }

}


Замените на:
function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, '\'') !== false) ||
            (strpos($url, '.php') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");
        }

    }


    $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, '\'') !== false)
           ) 
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");

        }

    }

}

Дистрибутив версии 7.2 обновлен.

Комментарии

Schulze

Schulze

25 сентября 2008 14:19 Клиенты
0
Спасибо
RedScorp

RedScorp

25 сентября 2008 14:43 Клиенты
0
Спасибо
cyberdog

cyberdog

25 сентября 2008 15:59 Посетители
0
Спасибо!
sinTEZ

sinTEZ

25 сентября 2008 17:26 Посетители
0
10x fellow
okai

okai

25 сентября 2008 17:37 Клиенты
0
Прикрыл "дырочку" wink
eph1r

eph1r

25 сентября 2008 18:58 Клиенты
0
Во время...
Mercy! ;)
pray

pray

25 сентября 2008 20:00 Клиенты
0
Спасибо. Поправил.
WMDrakon

WMDrakon

25 сентября 2008 20:08 Клиенты
0
Спасибо!
alxumuk

alxumuk

25 сентября 2008 20:15 Клиенты
0
СПС! Пофиксил )
XaoAsakura

XaoAsakura

26 сентября 2008 08:28 Посетители
0
Ммм...
Милая уязвимость ^_^
Спс за фикс
Numismat

Numismat

26 сентября 2008 10:00 Клиенты
0
Спасибо!
Fun

Fun

26 сентября 2008 10:23 Посетители
0
А это мне касаетца? Я вчера купил лицензию sad

Извините не в тему! У меня вилетает вот это:
Warning: Unknown: write failed: No space left on device (28) in Unknown on line 0 Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
как поправить?
спасибо
celsoft

celsoft

26 сентября 2008 11:04 Администраторы
0
Цитата: Fun
А это мне касаетца? Я вчера купил лицензию

Если вы скачивали дистрибутив до того как была опубликована эта новость, то касается.
Цитата: Fun
Warning: Unknown: write failed: No space left on device (28) in Unknown on line 0 Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
как поправить?

обратится к хостеру, ошибка означает что нет места на диске
Fun

Fun

26 сентября 2008 11:20 Посетители
0
Спасибо огромное!
И ещо.. по ходу сайт не раскирается в IE а опера раскривает?
Sobachnik

Sobachnik

27 сентября 2008 03:29 Посетители
0
Спасибо! wink
Alexli

Alexli

27 сентября 2008 10:27 Посетители
0
СпасиБо !!!! Будим править!
profiweb

profiweb

27 сентября 2008 18:07 Посетители
0
Спасибо!
Edward

Edward

27 сентября 2008 18:37 Клиенты
0
Так понимаю, в шапке обновлённого файла functions.php опечатка?

=====================================================
DataLife Engine - by SoftNews Media Group
-----------------------------------------------------
https://dle-news.ru/
-----------------------------------------------------
Copyright (c) 2004,2008 SoftNews Media Group
=====================================================
Данный код защищен авторскими правами
=====================================================
Файл: functions.inc.php
-----------------------------------------------------
Назначение: Основные функции
=====================================================
olezhka2008

olezhka2008

27 сентября 2008 21:29 Клиенты
0
Спасибо celsoft!
kacergei

kacergei

29 сентября 2008 01:22 Клиенты
0
Спасибо!
denka

denka

30 сентября 2008 21:54 Клиенты
0
спасибо, что всем хакерам сообщили о дырке what

не думаю, что все посещают постоянно ваш сайт, чтобы вовремя принять меры. хоть бы емэйлы рассылали.
нужно как-то улучшить оповещение клиентов о дырах и способах их латания. bully
celsoft

celsoft

1 октября 2008 02:21 Администраторы
0
denka,
нас ненужно посещать в вашей админпанели есть кнопка проверить наличие обновлений
Vse-vsem

Vse-vsem

12 октября 2008 14:22 Клиенты
0
Спасибо исправил!

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Октябрь 2017    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Сентябрь 2017 (2)
Август 2017 (5)
Июль 2017 (1)
Июнь 2017 (1)
Апрель 2017 (3)
Март 2017 (2)