Off: phpBB

Sergey M. 16.03.2005 14:19

не оставила равнодушным одна из последних найденных там уязвимостей:

Логическая уязвимость обнаружена в сценарии includes/sessions.php в следующей строке:

if( $sessiondata['autologinid'] == $auto_login_key )

Условие выполняется, если длина $sessiondata['autologinid'], представленная в куки пользователя, равна длине переменной $auto_login_key. Для исправления уязвимости ее необходимо (сюрприз!) заменить на строку:

if( $sessiondata['autologinid'] === $auto_login_key )

P.S. и после этого кто-то там ещё имеет наглости каждую весну косяками заваливаться на наш форум и пытаться тут всем доказывать, какая любительская технология этот наш Парсер, и какой у него ужасный и нечитаемый синтаксис...

Готовлю к выходу бесплатную opensource CMS под парсером, Sikoz 16.03.2005 11:45
- а поделитесь пожалуйста секретом :), dimka 20.03.2005 17:43
  - Ответ, Никита Козин [M] 21.03.2005 09:50 / 21.03.2005 09:51
  - Ответ, Sikoz 21.03.2005 09:39
- Ответ, OldWarrior 19.03.2005 05:41
  - Ответ, Sikoz 21.03.2005 09:40
- Вот интересно..., Никита Козин [M] 17.03.2005 14:55
  - Ответ, Sikoz 17.03.2005 16:14
- Не хватает интерфейса, hwat 17.03.2005 11:05
  - Возможно, вам это поможет: http://aktar.sibarit.ru/begin (-), Sikoz 17.03.2005 14:44
  - стоп, так не пойдет, Sikoz 17.03.2005 13:16
- Первым делом не хватает человеческого цвета бэкграунда... (-), G_Z [M] 16.03.2005 14:05
  - Ответ, Sikoz 16.03.2005 14:22
    - Дык, а где он, цвет-то?.., G_Z [M] 16.03.2005 15:16
      - Ответ, Sikoz 16.03.2005 16:20
- Форума как здесь не хватает :) (-), Ivan Babanin 16.03.2005 13:04
  - Ответ, Sikoz 16.03.2005 13:11
    - обычно РНРВВ сносят - из-за дыр (-), CODer 16.03.2005 13:29
      - Off: phpBB, Sergey M. 16.03.2005 14:19
      - и тем не менее это самый популярный форум)), Sikoz 16.03.2005 13:37
        Зачем тогда вы делали свою CMS? (-), Ivan Babanin 16.03.2005 13:44
        Ответ, Sikoz 16.03.2005 14:21
        Я могу вам выслать форум на parser, Ivan Babanin 16.03.2005 19:30
        странно, пошел и увидел - РНРВВ (-), CODer 17.03.2005 09:03
        а в свободный доступ выложить допустимо?, Larrikin 16.03.2005 21:12 / 16.03.2005 21:12
        Ловите, Ivan Babanin 16.03.2005 21:58
        нет файлика db.p, где взят? (-), Oleg 23.03.2005 14:01
        спасибо... (-), Larrikin 17.03.2005 03:13
        а структура БД? (-), Sikoz 16.03.2005 22:19
        forum.sql? (-), Larrikin 17.03.2005 03:12
        Я прислал вам его as-is - ничего не менял.. (-), Ivan Babanin 17.03.2005 05:56
        Ответ, Sikoz 16.03.2005 20:50
        Ответ, AL 16.03.2005 19:55
        от нечего делать повторил PhpBB, dimka 19.03.2005 01:58
        А Вы все повторили в точности?, AL 19.03.2005 09:18
        на код дадите взглянуть?, Larrikin 19.03.2005 02:20
        Я не думаю, AL 19.03.2005 09:20
        как показывает опыт - open-source проекты самы устойчивые к взлому..., Larrikin 19.03.2005 16:58 / 19.03.2005 16:59
        да, а если взять PHPBB?, AL 19.03.2005 17:08
        То его бы ломали в 10 раз чаще..., G_Z [M] 19.03.2005 17:40
        Так в этом и суть - дыры можно будет закрыть. Не думаю, что-то полезет "ломать"., fruit 19.03.2005 12:48

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум