Поиск по тегу «защита»

Доброй ночи всем. Сегодня получил сообщение в лс с просьбой объяснить чем же отличается хак на добавление капчи для гостей в комментарии для версии 2.5.1 от хака для версии 2.6.х, так как в этой версии мною ранее описаный метод не работает. В связи с этим решил посмотреть что у меня на сайте творится. Оказывается что мой хак после обновы движка вообще слетел, так что азарат был не только в том чтобы понять чем отличается, но и в том чтобы вернуть на свой сайт хак.

Здравствуйте, любители InstantCMS 1.X!

Всем привет! Думаю не будет лишним защитить пользователей от навязчивых минусаторов .. Смысл в том, что бы ограничить доступ к нажатию минуса пользователям, у которых мало рейтинга или которые только, что зарегистрировались. Т.е. уже не получится – зарегистрироваться и сразу минус поставить, предварительно это нужно заслужить парой тройкой положительных комментариев , блогом и тп.

Кто-то давно знает, кто-то узнал недавно, а кто-то узнает только сейчас про дыру в админке. Речь идёт о файле /wysiwyg/editor/filemanager/connectors/php/upload.php. Ранее рекомендованное действие для устранения дыры было простое удаление файла. Не секрет, что после этого в админке пропадала возможность закачивать файлы, например, при создании/редактировании статьи. Предлагаю рецепт, который позволит устранить дыру и при этом оставляет возможность закачки файлов в админке. Рецепт очень прост - нужно изменить имя файла на своё уникальное имя. Можно, конечно, просто добавить циферку к имени, но это плохо. Нападающий сможет подобрать имя файла. Лучше всего полностью сменить имя на другое, в крайнем случае добавьте не менее 4-5 символов и не только цифр. Итак, изменили имя этого файла на другое (напоминаю меняем имя файла /wysiwyg/editor/filemanager/connectors/php/upload.php)