Перейти к контенту
  • 0

можно взломать на редоктирование сообщени


Gaber

Вопрос

У меня на форуме проблема, причем для меня очень серьезная...

Его можно взломать на редоктирование сообщений путем: Достаточно добавить строку act=Post&CODE=08&f=30&t=значение&p=второе значение&st=0 в адрес сайта, узнав номер темы и номер сообщения, которое собираешься редактировать!!

 

Как поступить не подскажите, не знаю как от этого избавится, подскажите кто знает.

Зарание благодарю.

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0

В том то и дело что они как ты вырожаешся "не глобальный", им пренодлежат только малая часть контроля над форумами, большую часть контролирую я, но они могут редактировать сообщения везде, с помощью этой трямбы...

Я собственоручно регистрировал еще одного пользователя попутно назночая ему прова и сам убедился в этом... хорошо хоть пользователи это сделать не могут, хотя редактировать свои сообщения может каждый.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Gaber

о ти папрабюй зделот лыколнага пылзывотила и с иго лагина атридоктирыват.

 

(прошу прощения у грамотных людей, но кажется Габер такой текст поймет лучше)

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Gaber

Напиши сюда кусок кода из файла sources/lib/post_edit_post.php, который расположен между строками

//-----------------------------------------
  // Lets do some tests to make sure that we are
  // allowed to edit this topic
  //-----------------------------------------

и

/*-------------------------------------------------------------------------*/
// MAIN PROCESS FUNCTION
/*-------------------------------------------------------------------------*/

 

loosingar

Не смешно. Просто флуд.

Мы все поняли, что грамматику и орфографию русского языка ты знаешь отлично.

А вместо того, чтобы прикалываться над человеком, лучше бы вежливо попросил его подучить русский язык...

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Так мне хоть кто-нибудь подскажет?

Я еще выяснил, что модеры это могут сделать тока при одном условии:

act=Post&CODE=08&f=30&t=значение&p=второе значение&st=0, 30 - это модерированый форум именно этого модератора, если он поставит другой форум, вместо 30 к примеру 31, то у него ничего не получится.

А значения постов и тем могут стаять разные, такие которые нужны именно им, даже если они будут находится в другом разделе(форуме)

 

Может хоть кто-нибудь сталкивался с этим, я просто не знаю, как это исправить.

 

Добавлено в [mergetime]1108532849[/mergetime]

DINI

Вот код:

	 $can_edit = 0;
 
 if ($ibforums->member['g_is_supmod'])
 {
	 $can_edit = 1;
 }
 if ($this->moderator['edit_post'])
 {
	 $can_edit = 1;
 }
 if ( ($this->orig_post['author_id'] == $ibforums->member['id']) and ($ibforums->member['g_edit_posts']) )
 {
	 // Have we set a time limit?
	 
	 if ($ibforums->member['g_edit_cutoff'] > 0)
	 {
   if ( $this->orig_post['post_date'] > ( time() - ( intval($ibforums->member['g_edit_cutoff']) * 60 ) ) )
   {
  	 $can_edit = 1;
   }
	 }
	 else
	 {
   $can_edit = 1;
	 }
 }
 
 if ($can_edit != 1)
 {
	 $std->Error( array( LEVEL => 1, MSG => 'not_op') );
 }
 
 //-----------------------------------------
 // Check access
 //-----------------------------------------
 
 $this->class->check_for_edit($this->topic);
 
 //-----------------------------------------
 // // Do we have edit topic abilities?
 //-----------------------------------------
 
 if ( $this->orig_post['new_topic'] == 1 )
 {
	 if ($ibforums->member['g_is_supmod'] == 1)
	 {
   $this->edit_title = 1;
	 }
	 
	 else if ($this->moderator['edit_topic'] == 1)
	 {
   if ( $ibforums->member['id'] == $this->topic['starter_id'] )
   {
  	 $this->edit_title = 1;
   }
	 }
	 else if ($ibforums->member['g_edit_topic'] == 1 )
	 {
   $this->edit_title = 1;
	 }
 }
}

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Gaber, если ваши модераторы ломают ваш форум, снесите их к чертовой матери и поставьте надежных и сознательных людей - наиболее эффективная мера.
Ссылка на комментарий
Поделиться на других сайтах

  • 0

это модерированый форум именно этого модератора, если он поставит другой форум, вместо 30 к примеру 31, то у него ничего не получится.

 

Ну и что тебе не нравится :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0

WebMag прав.

Если на данном форуме кто-то является модератором, то он может отредактировать любое сообщение этого форума.

 

С кодом у тебя все ОК. Ты, судя по всему, просто не до конца понял функции модератора :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Gaber

Прикинь, а ведь у модеров такой же линк на кнопке Edit у каждого поста :D . Им сам форум ведь ломать помогает ;)

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Так что же получается, любой модер, которого я назначу, сможет отредактировать, удалить или еще какую-нибудь гадость сделать и я при этом не смогу узнать кто это сделал!

А может это где-нибудь прописывается, кто что удалил, отредактировал.... в форуме имеется такая фишка?

Если да, то где она находится? Если нет, то может у вас мод найдется?

 

d1pro

Именно по линку Edit, меня и хакнули, точнее проверили, а потом сообщили мне. Это привело меня в такой шок, особенно после того, как я порылся на этом форуме и ничего не нашел.

 

Добавлено в [mergetime]1108619640[/mergetime]

Да еще чуть не забыл, с помощью такой фишки еще и удалять сообщения можно, тока надо взять линк с кнопки "Удалить" и все...

Добавлено в [mergetime]1108620827[/mergetime]

WebMag

Мне не нравится то что все модеры могут редактировать абсолютно все сообщения на форуме, да и удалять тоже, даже если ему под обслуживание выдан только один раздел...

Представь себе такую картину, ты поставил форум, так долго над ним трудился, ставя на него различные моды и тп... назначил на разные разделы модераторов... и вдруг ты узнаешь что у тебя любой модер может изменять чужие сообщения себе во благо (это тока пример)... а у тебя уже достаточное кол-во модераторов и один из них начинает это проделывать, сыпятся жалобы и таму подобное на других модераторов, которые ничего не редактировали, не удаляли, вообще паиньками были, и как выеснить кто это делает ты не знаешь (во всяком случае не знаю я)... Начинается маленький хаос и тп... уходят обиженые люди, или сносятся паиньки модераторы... да я понимаю придут новые люди, можно назначить нового модератора и тд, но это все равно останется и никуда не денится, тем более что такие слухи распространяются быстро...

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Мне не нравится то что все модеры могут редактировать абсолютно все сообщения на форуме, да и удалять тоже, даже если ему под обслуживание выдан только один раздел...

:D;) Ну так снесли группу модератор, или поставь ограниченные права, - типа перенос тем и сообщений... Сделай скрытый форум, и пусть твои модеры, непотребные сообщения переносят в этот форум... :)

 

А вообще по действиям модераторов ведутся логи... Тебе их смотреть ничего не мешает... :)

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.