Проблема с масками доступа

[Sektor]

В общем, небольшой коллапсик на ресурсе. Некий пользователь научился проходить в закрытые разделы (доступ осуществляется по группе), т.е. по сути научился присваивать себе маски доступа. Вопрос: возможно ли это вообще? Если возможно, то как? И как от этого защититься?

[Sannis]

Маловероятно. Более конкретно без дополнительных данных сказать нельзя.

Если поймать пользователя в момент такого захода, можно постараться отследить его действия.

 

P.S. Все заплатки стоят? Посмотрите в АЦ, у пользователя не изменены дополнительные группы или маски доступа?

[Ольга Семеновская]

Простите, что влезаю...я в общем-то чайник.

Просто может опыт как-то поможет.

 

Если зайти в профиль пользователя через админку, на первой вкладке есть разделение по группам (основная и дополнительная) и на последней вкладке есть ещё одна маска. В общем, если случайно нажать на какую-либо маску на последней вкладке и сделать сохранение будучи даже в другой вкладке - это перекроет распределение с первой вкладки профиля. Возможно имело место такая случайность? Нужно просто "отжать" это выделение с последней маски и сохранить.

 

А ещё видела в файлах тут хук, позволяющий зайти как пользователь без его пароля. Как минимум можно удостовериться, что этот пользователь видит, а чего не видит.