Мы в твиттере Мы в телеграме!

Провеббер » DataLife Engine » DLE хаки » Мелкий баг в DLE всех версий

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?
Обращайся к нам в ЛС группы Вконтакте.

Мелкий баг в DLE всех версий

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
Скачать бесплатно Мелкий баг в DLE всех версий.

Мелкий баг в DLE всех версий

Суть бага: если вы поставили блокировку по IP на своём аккаунте, то даже если злоумышленник зная ваш пароль не сможет авторизоваться, ибо будет задействована блокировка по IP. Но её легко обойти. Достаточно тому же злоумышленику взломать вашу почту (к которой привязан аккаунт) и запросить на сайте восстановление пароля - успешно сменив пароль, движок заодно скидывает блокировку по IP у данного аккаунта.

Степень опасности: Средняя

Исправление:
Открываем файл engine/modules/lostpassword.php и находим:
set password='" . md5( md5( $new_pass ) ) . "', allowed_ip = '' WHERE user_id='$douser'"

Заменяем на:
set password='" . md5( md5( $new_pass ) ) . "' WHERE user_id='$douser'"

Баг закрыт и блокировку не снять.

Автор: ShapeShifter (savgroup.ru)


Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных


0
Просмотры: 4 607 :: Комментарии (14) :: :: Нужна помощь? Задайте вопрос на форуме ::
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1seka93

  • 4 ноября 2010 18:36
  • Регистрация: 11.09.2010
  • Был(а) онлайн: 7.03.2013
  • Комментариев: 20
  • 0
спасибо поставим clapping

#2locoste

  • 4 ноября 2010 20:34
  • Регистрация: 14.09.2010
  • Был(а) онлайн: 9.03.2016
  • Комментариев: 34
  • 0
спс) буду знать

#3fideral

  • 4 ноября 2010 20:54
  • Регистрация: 4.11.2010
  • Был(а) онлайн: 1.02.2014
  • Комментариев: 15
  • +1
После этого исправления, я так понимаю, нельзя будет сбросить привязку по IP. Как тогда быть если вдруг понадобится? Ручками базу править?

--------------------

#4celsoft

  • 5 ноября 2010 07:50
  • Регистрация: 18.09.2010
  • Был(а) онлайн: 5.12.2024
  • Комментариев: 345
  • 0
fideral, +1

--------------------

#5WooW

  • 5 ноября 2010 08:34
  • Регистрация: 22.10.2009
  • Был(а) онлайн: 14.08.2024
  • Комментариев: 510
  • +1
Степень опасности: Средняя

Что за бред?
Кто автор сия статьи?
"Взломать вашу почту"- с каких пор это стало пустяком?

И даже если взломать её, и кэпу понятно, что пароль можно восстановить.
Новость не зачёт.

#6hell

  • 5 ноября 2010 08:57
  • Регистрация: 12.09.2010
  • Был(а) онлайн: 3.12.2024
  • Комментариев: 90
  • 0
Только мыло найти ещё надо )) Я вписываю фигню всякую вместо почты. По мне проще с Спанели сменить что хочеш. А её брутить бесполезно 3 неправильных ввода и бан на весь хостинг. Да 128 знаков сбрутить не реально. Сидеть и подбирать лет 10 будут )))

#7edunow.su

  • 5 ноября 2010 12:08
  • Регистрация: 29.05.2010
  • Был(а) онлайн: 28.09.2024
  • Комментариев: 69
  • 0
Не вижу смысла в установке данного исправления.

#8SKDzR

  • 5 ноября 2010 16:27
  • Регистрация: 5.01.2010
  • Был(а) онлайн: 14.01.2012
  • Комментариев: 12
  • +1
Это, как бы, не ошибка скрипта. Это специально сделано, и ломать это не надо. Самому же хуже будет, ИМХО.

#9ShapeShifter

  • 6 ноября 2010 11:44
  • Регистрация: 19.09.2010
  • Был(а) онлайн: 23.03.2017
  • Комментариев: 52
  • 0
Со степенью опасности тут переборщили)
Просто по себе помню, что взломать можно либо почту и потом уже с неё запрашивать восстановление пароля, либо взломать аккаунт и как правило н почте такой же пароль (правда сейчас большинство наконец стало окуратнее).
Но суть в том, что если попался пользователь у которого пароль от почты и мыла такой же, то блок по IP не помеха.
На своём форуме я сделал просто доп. поле для другого мыла, куда будет высылаться ссылка с разблокировкой IP (добавление нового IP в список), если поле не заполнено - используется мыло при реге.
В общем это не баг, а так сказать совет...

#10akaMisHka

  • 6 ноября 2010 18:19
  • Регистрация: 17.01.2010
  • Был(а) онлайн: 27.02.2011
  • Комментариев: 20
  • 0
fideral,
базу править не надо, тока один файл, как на мне ето не большая такая проблема, перезалить один файл

#11bkkb

  • 8 ноября 2010 06:49
  • Регистрация: 18.12.2009
  • Был(а) онлайн: 3.05.2015
  • Комментариев: 219
  • 0
ну вот ктото инфу уже поправил. я хотел воспользоваться но уже инфу убрали прийдеться на других сайтах поискать

#12Dimitriy32

  • 8 ноября 2010 14:15
  • Регистрация: 8.11.2010
  • Был(а) онлайн: 28.10.2012
  • Комментариев: 30
  • 0
Жаль что баг прикрыли...

#13bomoslik

  • 21 ноября 2010 18:21
  • Регистрация: 17.11.2010
  • Был(а) онлайн: 6.10.2014
  • Комментариев: 40
  • 0
да фигня всё это

--------------------

#14deeds

  • 30 ноября 2010 03:58
  • Регистрация: 30.11.2010
  • Был(а) онлайн: 4.06.2013
  • Комментариев: 14
  • 0
Да нифига не фигня

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Архив новостей
Декабрь 2024 (10)
Ноябрь 2024 (9)
Октябрь 2024 (169)
Сентябрь 2024 (13)
Август 2024 (60)
Июль 2024 (12)

Последние комментарии: