Нашел в IPB дырку, позволяющую любому (!) зарегистрированному на форуме пользователю отредактировать любое (!!!) сообщение.
Этого можно добиться простой подстановкой переменных в адресную строку. Например, чтобы отредактировать первое сообщение в первом топике первого форума, зарегистрированному пользователю достаточно ввести в адресную строку http://www.someforum.ru/forums/index.php?act=Post&CODE=08&f=1&t=1&p=1&st=0. После этого сообщение можно спокойно редактировать.
У кого-нибудь имеются идеи, как можно залатать эту дыру?
Если такую тему уже обсуждали или уже выпустили какой-нибудь патч, закрывающий дыру, дайте, плиз, ссылку.
Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.
Вопрос
DINI
Нашел в IPB дырку, позволяющую любому (!) зарегистрированному на форуме пользователю отредактировать любое (!!!) сообщение.
Этого можно добиться простой подстановкой переменных в адресную строку. Например, чтобы отредактировать первое сообщение в первом топике первого форума, зарегистрированному пользователю достаточно ввести в адресную строку http://www.someforum.ru/forums/index.php?act=Post&CODE=08&f=1&t=1&p=1&st=0. После этого сообщение можно спокойно редактировать.
У кого-нибудь имеются идеи, как можно залатать эту дыру?
Если такую тему уже обсуждали или уже выпустили какой-нибудь патч, закрывающий дыру, дайте, плиз, ссылку.
Ссылка на комментарий
Поделиться на других сайтах
14 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.