Перейти к контенту

Баг или фича разработчиков?

-KOT-

Автор: -KOT-,
в Оффтопик

 Поделиться

Рекомендуемые сообщения

-KOT-

-KOT-

Опубликовано
Опубликовано

обратите внимание что когда я кликаю по ссылке http://test.exiles.ru/index.php?showtopic=...eaded&pid=4 Я как бы читаю топик номер 3 - в настройках которого маска доступа позваляет читать топик гостям, но при этом через pid=4 я загружаю пост из топика http://test.exiles.ru/index.php?showtopic=4 в настройках которого маска доступа позволяет читать только админам, при этом форум защищен паролем.

 

Я пытаюсь объяснить что таким образом человек через разрешенные масками форумы может меняя pid читать сообщения из форумов которые ему не положено посещать.

Ссылка на комментарий
Поделиться на других сайтах
FatCat

FatCat

Опубликовано
Опубликовано

Проверил на 1.3, там этого нет.

Там есть более приятная фича: если в разных подфорумах используются разные скины, можно открыть топик в скине другого подфорума:

index.php?act=ST&f=2&t=999 - будет открыт топик с идом 999 в скине форума с идом 2.

Очень полезная фича.

Например, гостевая книга - http://vesvalo.net/index.php?showtopic=6

Нужно модератору отредактировать - вот она: http://vesvalo.net/index.php?act=ST&f=2&t=6

Ссылка на комментарий
Поделиться на других сайтах
-KOT-

-KOT-

Опубликовано
  • Автор
Опубликовано

короче просто меняя Pid

http://test.exiles.ru/index.php?showtopic=...eaded&pid=1

http://test.exiles.ru/index.php?showtopic=...eaded&pid=2

http://test.exiles.ru/index.php?showtopic=...eaded&pid=3

http://test.exiles.ru/index.php?showtopic=...eaded&pid=4

 

Ты можешь выдергивать любое сообщение из базы при этом у тебя маска форума который позволяет читать гоятм и ты все видишь.

 

Пытаюсь на фоиц сайте донести эту же информацию. Но либо мой английский так плох, липо комуто просто не интересна эта тема.

 

http://forums.invisionpower.com/index.php?...mp;bug_cat_id=5

Ссылка на комментарий
Поделиться на других сайтах
FatCat

FatCat

Опубликовано
Опубликовано
короче просто меняя Pid

Сейчас опробовал на локалхосте на 2.17 сделал категорию с доступом только админам, в ней форум с доступом только админам, и в нем открыл топик.

Зашел гостем.

test4.ru/index.php?showtopic=1 - топик в открытом разделе виден.

test4.ru/index.php?showtopic=2 - просит пароль.

test4.ru/index.php?showtopic=1&mode=threaded&pid=2 - показывает топик в открытом разделе.

 

Ты ничего с доступами у себя не намудрил? :D

Ссылка на комментарий
Поделиться на других сайтах
AVol

AVol

Опубликовано
Опубликовано

Проверял - немног покрутил и попал на сообщения, которые поиском для пользователя, от которого они написанны, не отображаются (сообщение из клиентского раздела)... ;)

Нада затыкать какнибуть.... :D

Ссылка на комментарий
Поделиться на других сайтах
yarweb

yarweb

Опубликовано
Опубликовано

2.0.x прокатывает...

Определенно бага :)

 

надо с бубном поколдовать...

 

Тоже фигня вылезает...

Или так

По уму об ошибке должно сообщить... хотябы об "неправильном использовании одного из файлов форума"

Ссылка на комментарий
Поделиться на других сайтах
.silent

.silent

Опубликовано
Опубликовано (изменено)

да я Смайлу топик показал и пару примеров использования, люди уже соорудили защиту :)

 

http://forums.invisionpower.com/index.php?...g_title_id=2162

гляньте, там скрин из 2.2 прикольный, при просмотре профиля юзера, наверное :D

не зря по pid'ам пошарил ;)

Изменено пользователем .silent
Ссылка на комментарий
Поделиться на других сайтах
yarweb

yarweb

Опубликовано
Опубликовано

Решение для 2.0.x:

 

Открыть \sources\lib\topic_threaded.php

Найти:

		//+----------------------------------------------------------------
	// Are we viewing Posts?
	//+----------------------------------------------------------------

	$post_id = intval($ibforums->input['pid']);

Ниже вставить:

		if($post_id && !in_array($post_id, $this->pids))
	{
		$std->Error( array( LEVEL => 1, MSG => 'missing_files') );
	}

Ссылка на комментарий
Поделиться на других сайтах
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен