Дыры в 1.9 или я неудачнег

Столкнулся с проблемой что на сайт релизом 1.9 гадят и гадят очень нагло, но в последние время это уже перебор: кто-то мнимый может читать ЛС других пользователей, менять им статусы, просматривать закрытые профили и тд, дошло до того что он выкладывает инструкцию как это можно делать:



Я увы не программист и мне сложно понять и закрыть все эти дыры, каюсь что устанавливал разные дополнение, но наверняка Вы это тоже делали.

Кто может помочь, разумеется за деньги решить все это вопросы с дырами и дать сайту жить нормально?

хрена се

А я постоянно схватваю во всех js...

С JS у меня все в порядке — проверял каждый файл, прогонял архив антивирусами — 100% чисто все.

Дыры в 1.9 или я неудачнег

А где собственно дыры то?

А где собственно дыры то?

У меня скорее всего в голове, т.к я не выставил правильно chmod. Прошу меня извинить.

Народ вы точно решили убить сайт, второй топик подряд на который орут антивирусы. Думаете яндекса автоматика или гугла не среагирует.
Ну зачем выкладывать куски это хрени в паблик, чем оно поможет. И так понятно что там.
Вас же интересует как это залито, а не на какие проно сайты ведет.
Да и неплохо фильтр прикрутить к форуму, от таких штук в постах.

Народ вы точно решили убить сайт, второй топик подряд на который орут антивирусы. Думаете яндекса автоматика или гугла не среагирует.
Ну зачем выкладывать куски это хрени в паблик, чем оно поможет. И так понятно что там.
Вас же интересует как это залито, а не на какие проно сайты ведет.
Да и неплохо фильтр прикрутить к форуму, от таких штук в постах.

Причем тут вирусы? Я не одного слова про вирусы не написал, у меня на сервере нет шелов и прочей гадости.
Я пытаюсь найти решение где один умный пользователь может просматривать закрытые профили других, читать их ЛС, изменять статусы
и т.д.

Вы тут не причем, просто уже удалили, там была выложена гадость под спойлером в посте ниже.

Root13, это я выложил кусок, вы не причем.
garry, ошибку понял.

Root13, и что это дает, если я узнаю урл? да абсолютно ничего)
Вам еще рано говорить о дырах) хотите я вам такие же фокусы покажу, с практически любой известной cms?

И кто вам сказал что при просмотре исходного кода он сохранит примененные изменения в коде? на практике пробывали?

Root13, и что это дает, если я узнаю урл? да абсолютно ничего)
Вам еще рано говорить о дырах) хотите я вам такие же фокусы покажу, с практически любой известной cms?

Именно по этой причине я и скрыл урл, так как он Вам не даст абсолютно ничего.
Можно более подробно почему мне рано говорить о дырах? Врем поздние? Или возрастом не вышел?
Мне фокусы показывать не нужно, не люблю я фокусников и клоунов.
Прочитав мое первое сообщение в теме — Вы поняли суть моего вопроса?

И кто вам сказал что при просмотре исходного кода он сохранит примененные изменения в коде? на практике пробывали?

Безусловно он не сохранит изменение в коде, мне это понятно даже как не программисту.
Вопрос совершенно в другом. Внимательнее читайте мои сообщения.

Root13, а что собственно вам мешает?

Почитал, занятно. С закрытыми профилями действия с id в урл прокатывает, некритичные действия. Карму, сообщение отправить, посмотреть посты… Если это для вас критично, попробуйте отписать в багтрекер. Возможно разработчики исправят.

кто-то мнимый может читать ЛС других пользователей, менять им статусы, просматривать закрытые профили и тд,

Это уже перебор. На такие действия есть проверка и не прокатит. Можете проверить.
По кукисам, это не к Инстанту. Могут стащить куки с любого сайта. Это скорее вопрос локальной безопасности. Прошли те времена, когда лазили с отключенными куками. Простого пользователя проще сбрутить, чем заморачиваться с куками. Юзер ведь он такой, может запросто установить пароль 1234. Только вот что это даст?