Чтение скрытых разделов форума

[Firefox]

Кто-то на нашем Форуме прочитал скрытые разделы форума, которые доступны только Администраторам и Модераторам (т. е. гости не могут видеть эти разделы) и выложил их в Гостевой книге в HTML. На этих HTML следует обратить внимание: видно, что они были получены при помощи программы Teleport Pro.

 

Вот некоторые из этих HTML:

http://files.antiprank.ru/html/tp.zip.

 

Помогите кто знает как исправить эту ошибку!

[Song]

Может маска поисковиков имеет доступ?

[Firefox]

Может маска поисковиков имеет доступ?

Нет, у поисковиков стоит Маска гостей.

[RuKeeper]

опа... я думаю эту тему стоит удалить..

[Song]

С чего вдруг?

[FatCat]

Вот некоторые из этих HTML:

http://files.antiprank.ru/html/tp.zip

Посмотрел. Там сессию перехватили.

У меня на 1.3 похожий баг есть: если кто-то из админов запустит поиск, а адресную строку (содержащую идентификатор сессии) передаст другому. Не-админ по запросу получит страницу результатов с линками на топики из админского раздела, и сможет даже в них войти, читать и отвечать в топиках.

Видимо, и на старших версиях этот баг унаследован.

[LordBone]

Firefox, у вас какая версия форума?

[Firefox]

Firefox, у вас какая версия форума?

2.1.7.

[Song]

У меня на 1.3 похожий баг есть: если кто-то из админов запустит поиск, а адресную строку (содержащую идентификатор сессии)

ну это всё же не идентификатор сессии, каким мы привыкли его называть. Это идентификатор сессии поиска, и он ничего не имеет общего с сессией, которая в ibf_sessions.

 

В 1.3 действительно по дефолту не проверяется.

В 2.1 думаю такой досадный косяк не упустили.

[Firefox]

Если кто знает, то подскажите в каком файле можно исправить эту дыру.

Буду очень признателен!

[exe2]

Вот некоторые из этих HTML:

<a href="http://files.antiprank.ru/html/tp.zip" target="_blank">http://files.antiprank.ru/html/tp.zip</a>

Посмотрел. Там сессию перехватили.

У меня на 1.3 похожий баг есть: если кто-то из админов запустит поиск, а адресную строку (содержащую идентификатор сессии) передаст другому. Не-админ по запросу получит страницу результатов с линками на топики из админского раздела, и сможет даже в них войти, читать и отвечать в топиках.

Видимо, и на старших версиях этот баг унаследован.

есть такая бага в 2.1.7 я только что проверил

[LordBone]

Ну если есть в 2.1.7, то стало быть и в остальных 2.1.* баг присутствует. Знает кто, как исправить?

[Song]

Мдя.. ок, щас посмотрим чего можно сделать.

 

Пробуем 1.x, 2.1.x: Обход проверки прав при просмотре результатов поиска Все версии IPB

[Firefox]

Мдя.. ок, щас посмотрим чего можно сделать.

 

Пробуем 1.x, 2.1.x: Обход проверки прав при просмотре результатов поиска Все версии IPB

Спасибо, поставил.

[Song]

Так работает? А проверял ли?

[LordBone]

Firefox, работает?

[Firefox]

Так работает? А проверял ли?

Firefox, работает?

Зайдите и попробуйте:

http://www.antiprank.ru.

[Arhar]

нет

понимаешь, как это работает:

у тебя есть доступ к разделу

ты ищешь в нем

потом даешь нам ссылку на результаты поиска

и если мы видим в результатах сообщения из закрытого раздела, то не работает

 

P.S. так ведь?))

[Song]

Только ссылку надо дать желательно побыстрей сразу после поиска.

[NtX]

Проверено. Работает.

 

ДО исправления: гость по ссылке мог видеть результаты поиска, но не мог открыть темы и посмотреть сообщения.

ПОСЛЕ исправления: гость по ссылке вообще ничего не мог увидеть.

 

Мой случай до исправления видимо в том, что все таки я не поленился убить время на закрытие всех известных дырок около месяца назад, так как иначе непонятно как у других могут сообщения аж читать/удалять и прочее. )))

[Firefox]

Обновил форум до последней версии.

Тему можно закрывать!

[Song]

А ты думаешь в этой новой версии это проверяется?