 Разделы ПрочееНовости от ЯndexaДрузья
|
Проблема: Недостаточная фильтрация входящих данных.
Злоумышленник может получить информацию о пути установки скрипта Ошибка в версии: 6.7 и более ранние. Иногда проходит на 7.0, с чем связано не пойму, скорее всего зависит от настроек вывода ошибок. Степень опасности: низкая Ручное исправление: /engine/modules/functions.php Находим: <!-- code1 -->
<!--
ecode1
-->
function check_xss () {
<!--
ecode2
-->
$url = html_entity_decode(urldecode($_SERVER['QUERY_STRING'])); if ($url) { if ((strpos($url, '<') !== false) || (strpos($url, '>') !== false) || (strpos($url, '"') !== false) || (strpos($url, './') !== false) || (strpos($url, '../') !== false) || (strpos($url, '\'') !== false) || (strpos($url, '.php') !== false) ) { if ($_GET['do'] != "search" OR $_GET['subaction'] != "search") die("Hacking attempt!"); } } } <!-- code2 --> Меняем на: <!-- code1 -->
<!--
ecode1
-->
function check_xss () {
<!--
ecode2
-->
$url = html_entity_decode(urldecode($_SERVER['QUERY_STRING'])); if ($url) { if ((strpos($url, '<') !== false) || (strpos($url, '>') !== false) || (strpos($url, '"') !== false) || (strpos($url, './') !== false) || (strpos($url, '../') !== false) || (strpos($url, '\'') !== false) || (strpos($url, '[') !== false) || (strpos($url, ']') !== false) || (strpos($url, '{') !== false) || (strpos($url, '}') !== false) || (strpos($url, '.php') !== false) ) { if ($_GET['do'] != "search" OR $_GET['subaction'] != "search") die("Hacking attempt!"); } } } <!-- code2 --> Те же манипуляции и с файлом /engine/inc/functions.inc.php
|
 Партнеры
осетинские пироги в москве, настоящие осетинские пироги с сочной начинкой и тонким тестом.
Опрос
Как вам новый дизайн?
|
