Мы в твиттере Мы в телеграме!

Провеббер » DataLife Engine » Релизы DLE » Недостаточная фильтрация в модуле Переходы от 10.09.2011

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?
Обращайся к нам в ЛС группы Вконтакте.

Недостаточная фильтрация в модуле Переходы от 10.09.2011

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
Скачать бесплатно Недостаточная фильтрация в модуле Переходы от 10.09.2011.

Недостаточная фильтрация в модуле Переходы от 10.09.2011


Ошибка в версии: все версии

Степень опасности: Высокая

Для исправления откройте файл engine/modules/referer.php и найдите:

if(preg_match("/[<][\/a-zA-Z]+(.*?)[>]/", urldecode(rawurldecode($http_referer)))) {
die ( "Переход заблокирован, перенаправление:<br /><br />Пожалуйста, нажмите <a href=\"{$request_uri}\">сюда</a>." );
}


Ниже добавьте:

if(preg_match("/[<][\/a-zA-Z]+(.*?)[>]/", urldecode(rawurldecode($request_uri)))) {
die ( "Переход заблокирован, перенаправление:<br /><br />Пожалуйста, нажмите <a href=\"{$config['http_home_url']}\">сюда</a>." );
}

if(preg_match("/[<][\/a-zA-Z]+(.*?)[>]/", $_SERVER['HTTP_USER_AGENT'])) {
die ( "Переход заблокирован, перенаправление:<br /><br />Пожалуйста, нажмите <a href=\"{$config['http_home_url']}\">сюда</a>." );
}


Немного ниже найдите

if (checkurl($http_referer) != "false") {


ВЫШЕ добавьте:

$request_uri = $db->safesql( trim( htmlspecialchars( strip_tags( $request_uri ) ) ) );


Ниже найдите:

$rblock = str_replace( '[slink]', "<a href=\"".$row['uri']."\">", $rblock );


Замените на:

$rblock = str_replace( '[slink]', "<a href=\"".strip_tags($row['uri'])."\">", $rblock );


Найдите:

$user_agent = $_SERVER['HTTP_USER_AGENT'];


Замените на:

$user_agent = @$db->safesql( htmlspecialchars( strip_tags( stripslashes( trim( $_SERVER['HTTP_USER_AGENT'] ) ) ), ENT_QUOTES ) );


Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных


-1
Просмотры: 3 342 :: Комментарии (19) :: :: Нужна помощь? Задайте вопрос на форуме ::
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1webil

  • 13 сентября 2011 19:43
  • Регистрация: 21.10.2010
  • Был(а) онлайн: 1.12.2021
  • Комментариев: 209
  • 0
поэтому я к чертям модуль этот снял!

#2UkrDimon

  • 13 сентября 2011 19:53
  • Регистрация: 7.11.2010
  • Был(а) онлайн: 12.05.2013
  • Комментариев: 121
  • 0
webil,
Многие люди его сняли))))но я не не снял,пускай стоит))

#3hell

  • 13 сентября 2011 21:11
  • Регистрация: 12.09.2010
  • Был(а) онлайн: 3.12.2024
  • Комментариев: 90
  • 0
UkrDimon,Адрес сайта напиши. Помогут снять

#4UkrDimon

  • 13 сентября 2011 21:23
  • Регистрация: 7.11.2010
  • Был(а) онлайн: 12.05.2013
  • Комментариев: 121
  • 0
Цитата: hell
UkrDimon,Адрес сайта напиши. Помогут снять

Да я его и сам сниму))не хочу просто ))

#5account

  • 13 сентября 2011 21:41
  • Регистрация: 11.09.2010
  • Был(а) онлайн: 21.09.2011
  • Комментариев: 4
  • 0
у меня стоит версия 8.4
в файле referer.php нету двух последних строк
$rblock = str_replace( '[slink]', "<a href=\"".$row['uri']."\">", $rblock );

и
$user_agent = $_SERVER['HTTP_USER_AGENT'];

что делать?
помогите.

#6UkrDimon

  • 13 сентября 2011 22:21
  • Регистрация: 7.11.2010
  • Был(а) онлайн: 12.05.2013
  • Комментариев: 121
  • 0
Уже 70+просмотров и не одного +(:

#7Mel

  • 13 сентября 2011 22:32
  • Регистрация: 8.04.2010
  • Был(а) онлайн: 22.02.2018
  • Комментариев: 376
  • 0
Почемуто я нисколько не удивился этой новости, через "переходы" уже столько сайтов ломанули, что модуль оправдывает свое название.

#8Saneka2692

  • 13 сентября 2011 22:47
  • Регистрация: 2.10.2010
  • Был(а) онлайн: 21.02.2012
  • Комментариев: 56
  • 0
Цитата: UkrDimon
Многие люди его сняли))))но я не не снял,пускай стоит))

Когда сайт твой снимут уже поздно будет))

#9UkrDimon

  • 13 сентября 2011 22:48
  • Регистрация: 7.11.2010
  • Был(а) онлайн: 12.05.2013
  • Комментариев: 121
  • 0
Mel,
А каким образом сайты то ламанули из-за модуля)???

Цитата: Saneka2692
Когда сайт твой снимут уже поздно будет))

Епть вы меня запугали))всё пошол модуль с сайт нах снимать пока не поздно)

#10Fta1050

  • 13 сентября 2011 22:49
  • Регистрация: 5.05.2010
  • Был(а) онлайн: 28.11.2024
  • Комментариев: 172
  • 0
Гнали траф с твоего на свой...

--------------------

#11skifa

  • 13 сентября 2011 23:37
  • Регистрация: 11.04.2011
  • Был(а) онлайн: 13.01.2019
  • Комментариев: 35
  • 0
зря только покупал когда-то этот гавномодуль! сам от него отказался недавно и не жалею! с каждой версией одни баги находят ...

#12Saneka2692

  • 13 сентября 2011 23:41
  • Регистрация: 2.10.2010
  • Был(а) онлайн: 21.02.2012
  • Комментариев: 56
  • 0
Цитата: UkrDimon
Епть вы меня запугали))всё пошол модуль с сайт нах снимать пока не поздно)

Нет, я не запугивал. Меня часто ломали с этим модулем, можно сказать жить спокойно не давали. Как только снёс модуль к чертям, всё прекратилось. (может совпадение конечно, но я в такие совпадения не верю.
Судить вам.

#13UkrDimon

  • 13 сентября 2011 23:56
  • Регистрация: 7.11.2010
  • Был(а) онлайн: 12.05.2013
  • Комментариев: 121
  • 0
Saneka2692,
Да всё же я модуль убрал с сайта своего))Бог береженого бережет!

#14ko1yan

  • 14 сентября 2011 00:42
  • Регистрация: 7.03.2010
  • Был(а) онлайн: 18.01.2015
  • Комментариев: 9
  • 0
При отключенном выводе блоке проблем не будет, в версии 9.2 проблем не будет (через недельку я сделаю, в надежде сразу после выхода DLE 9.4). Я не машина, у любого человека может быть ошибка, но к сведению, после найденной ошибки фикс был написан через час. Не я делаю баги в модуле, а в основном сам PHP

--------------------

#15Lenivo

  • 14 сентября 2011 00:47
  • Регистрация: 30.08.2011
  • Был(а) онлайн: 28.02.2015
  • Комментариев: 136
  • 0
Жалко конечно, удобный был модулек, но надоело каждый день на сайт автора заходить и смотреть не вылезла ли новая дыра. Снес.

Кстати, с модулем "на линии" та же фигня - латайте дыры...

#16soulman

  • 14 сентября 2011 13:12
  • Регистрация: 14.04.2011
  • Был(а) онлайн: 16.08.2022
  • Комментариев: 77
  • 0
убейте этого разраба к чертям. я больше чем уверен, что он сам эти дыры и делает.... diablo славо богу ни когда не ставил этот модуль, как то не вижу смысла в нем вообще.

#17account

  • 14 сентября 2011 20:11
  • Регистрация: 11.09.2010
  • Был(а) онлайн: 21.09.2011
  • Комментариев: 4
  • 0
у меня стоит версия 8.4
в файле referer.php нету двух последних строк:
$rblock = str_replace( '[slink]', "<a href=\"".$row['uri']."\">", $rblock );

и
$user_agent = $_SERVER['HTTP_USER_AGENT'];

что делать?
помогите.

#18Delacrua

  • 14 сентября 2011 21:57
  • Регистрация: 14.10.2010
  • Был(а) онлайн: 5.12.2017
  • Комментариев: 278
  • 0
Модулю уже 4 года, все дырки в модуле зашиваем... Вот вам наглядный пример, что все эти модули вообще ставить не надо. DLE без модулей взламывают, по себе знаю, а уж с модуля то уж наверное совсем беда.

--------------------

#19infosite

  • 15 сентября 2011 11:47
  • Регистрация: 13.09.2010
  • Был(а) онлайн: 6.02.2022
  • Комментариев: 76
  • 0
человек старался а вы его dash

--------------------

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Архив новостей
Декабрь 2024 (10)
Ноябрь 2024 (9)
Октябрь 2024 (169)
Сентябрь 2024 (13)
Август 2024 (60)
Июль 2024 (12)

Последние комментарии: