Провеббер » DataLife Engine » DLE хаки » Мелкий баг в DLE всех версий

Мелкий баг в DLE всех версий

Автор: FoReZ 2010-11-04 DataLife Engine / DLE хаки

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.

Скачать бесплатно Мелкий баг в DLE всех версий.

Суть бага: если вы поставили блокировку по IP на своём аккаунте, то даже если злоумышленник зная ваш пароль не сможет авторизоваться, ибо будет задействована блокировка по IP. Но её легко обойти. Достаточно тому же злоумышленику взломать вашу почту (к которой привязан аккаунт) и запросить на сайте восстановление пароля - успешно сменив пароль, движок заодно скидывает блокировку по IP у данного аккаунта.

Степень опасности: Средняя

Исправление:
Открываем файл engine/modules/lostpassword.php и находим:

set password='" . md5( md5( $new_pass ) ) . "', allowed_ip = '' WHERE user_id='$douser'"

Заменяем на:

set password='" . md5( md5( $new_pass ) ) . "' WHERE user_id='$douser'"

Баг закрыт и блокировку не снять.

Автор: ShapeShifter (savgroup.ru)

Missing update?
Checkout our NULLED Web Community

Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных

Просмотры: 4 544 :: Комментарии (14) :: :: Нужна помощь? Задайте вопрос на форуме ::

Теги: Баги, Баги DLE, IP, ShapeShifter

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1seka93

4 ноября 2010 18:36
Регистрация: 11.09.2010

Был(а) онлайн: 7.03.2013
Комментариев: 20

спасибо поставим clapping

#2locoste

4 ноября 2010 20:34
Регистрация: 14.09.2010

Был(а) онлайн: 9.03.2016
Комментариев: 34

спс) буду знать

#3fideral

4 ноября 2010 20:54
Регистрация: 4.11.2010

Был(а) онлайн: 1.02.2014
Комментариев: 15

После этого исправления, я так понимаю, нельзя будет сбросить привязку по IP. Как тогда быть если вдруг понадобится? Ручками базу править?

--------------------

fixmag.ru - принципиальные схемы и прочая документация по ремонту электронной техники

#4celsoft

5 ноября 2010 07:50
Регистрация: 18.09.2010

Был(а) онлайн: 27.02.2024
Комментариев: 345

fideral, +1

--------------------

#5WooW

5 ноября 2010 08:34
Регистрация: 22.10.2009

Был(а) онлайн: 13.02.2024
Комментариев: 509

Степень опасности: Средняя

Что за бред?
Кто автор сия статьи?
"Взломать вашу почту"- с каких пор это стало пустяком?

И даже если взломать её, и кэпу понятно, что пароль можно восстановить.
Новость не зачёт.

#6hell

5 ноября 2010 08:57
Регистрация: 12.09.2010

Был(а) онлайн: 7.04.2024
Комментариев: 90

Только мыло найти ещё надо )) Я вписываю фигню всякую вместо почты. По мне проще с Спанели сменить что хочеш. А её брутить бесполезно 3 неправильных ввода и бан на весь хостинг. Да 128 знаков сбрутить не реально. Сидеть и подбирать лет 10 будут )))

#7edunow.su

5 ноября 2010 12:08
Регистрация: 29.05.2010

Был(а) онлайн: 5.05.2024
Комментариев: 69

Не вижу смысла в установке данного исправления.

#8SKDzR

5 ноября 2010 16:27
Регистрация: 5.01.2010

Был(а) онлайн: 14.01.2012
Комментариев: 12

Это, как бы, не ошибка скрипта. Это специально сделано, и ломать это не надо. Самому же хуже будет, ИМХО.

#9ShapeShifter

6 ноября 2010 11:44
Регистрация: 19.09.2010

Был(а) онлайн: 23.03.2017
Комментариев: 52

Со степенью опасности тут переборщили)
Просто по себе помню, что взломать можно либо почту и потом уже с неё запрашивать восстановление пароля, либо взломать аккаунт и как правило н почте такой же пароль (правда сейчас большинство наконец стало окуратнее).
Но суть в том, что если попался пользователь у которого пароль от почты и мыла такой же, то блок по IP не помеха.
На своём форуме я сделал просто доп. поле для другого мыла, куда будет высылаться ссылка с разблокировкой IP (добавление нового IP в список), если поле не заполнено - используется мыло при реге.
В общем это не баг, а так сказать совет...