Улучшение защиты
Недавно пробежался по коду движка и обнаружил пару мелочей:
1) Любой пользователь сможет отправить другому скрытую ссылку по ЛС (например) и если адресат перейдёт по ней, то:
1.1) Возможно удалить или добавить любую закладку в личный список
1.2) Возможно "выкинуть" пользователя из аккаунта, как будто он сам нажал на кнопку выхода
2) Любой пользователь сможет запустить файл проверки версии движка upgrade.php, ничего страшного в этом нет, но зачем давать такую возможность?
3) Путём подмены куков пользователь может вызвать ошибку движка и тем самым узнать корневой путь сайта (самое интересное, что об этой ошибке давно известно, но в дистрибутивах она не закрыта, хотя у самого селсофта она конечно прикрыта... правда не везде) )
4) Возможна смена скина на сайте, если в настройках отключена эта возможность
Ну и конечно баги в DLE Forum, опишу только те что пока нашёл (помимо давно известных багов):
1) Не фильтруется переменная $mail при добавлнии поста или темы у авторизованных пользователей, проверка есть только у гостей...
2) Возможна проблема с навигацией при просмотре всех тем пользователя, ник которого содержит кириллицу
3) Возможно изменить репутацию не существующему пользователю или гостю, что впринципе одно и тоже, т.к. его в БД нет
Источник:savgroup.ru - разработка модулей под ДЛЕ
1) Любой пользователь сможет отправить другому скрытую ссылку по ЛС (например) и если адресат перейдёт по ней, то:
1.1) Возможно удалить или добавить любую закладку в личный список
1.2) Возможно "выкинуть" пользователя из аккаунта, как будто он сам нажал на кнопку выхода
2) Любой пользователь сможет запустить файл проверки версии движка upgrade.php, ничего страшного в этом нет, но зачем давать такую возможность?
3) Путём подмены куков пользователь может вызвать ошибку движка и тем самым узнать корневой путь сайта (самое интересное, что об этой ошибке давно известно, но в дистрибутивах она не закрыта, хотя у самого селсофта она конечно прикрыта... правда не везде) )
4) Возможна смена скина на сайте, если в настройках отключена эта возможность
Ну и конечно баги в DLE Forum, опишу только те что пока нашёл (помимо давно известных багов):
1) Не фильтруется переменная $mail при добавлнии поста или темы у авторизованных пользователей, проверка есть только у гостей...
2) Возможна проблема с навигацией при просмотре всех тем пользователя, ник которого содержит кириллицу
3) Возможно изменить репутацию не существующему пользователю или гостю, что впринципе одно и тоже, т.к. его в БД нет
Источник:savgroup.ru - разработка модулей под ДЛЕ
Похожие новости
- Ajax-отправка форм в админпанели - модуль AdminAjaxForms
- Весенняя акция на лицензии DataLife Engine
- Arne Slot ayaa eedda dusha ka saaray hal qof ka dib guuldarradii Liverpool ka soo gaartay Galatasaray..
- Chelsea oo go’aansatay inay iibiso Liam Delap ka dib markii uu hal gool dhaliyay tan iyo markii uu xagaagii ku biiray.
- Sidee habeenkii naxdinta lahaa ee Kinsky u dhacay ka hor inta aan la badalin daqiiqadii 17aad..
- Luka Modric ayaa soo afjaray wararka xanta ah ee la xiriirinaya inuu ku laabanayo Real Madrid, isagoo ku adkeysanaya inuu….
- Alejandro Garnacho ayaa ka digay in mustaqbalka Chelsea uu noqon karo mid aad u fool xun iyadoo halyeeyga kooxda uu ku..
- Chelsea oo qalbi jabisay Wrexham ka dib markii VAR ay ku guuleysatay….
- Kooxda Real Madrid ayaa ku soo biirtay tartanka loogu jiro saxiixa Sandro Tonali oo ka tirsan NewcastleUnited.
- MIKEL ARTETA ayaa sheegay in Arsenal ay isku dayday shax cusub muddo TOBAN DAQIIQO ah ka hor guushii 2-1 ee FA Cup ee Mansfield.