Найти на сайте
  2. Пользователи
  3. Root13
  4. Форум
R

Root13

+15
Репутация
6008
Рейтинг
#1 Дыры в 1.9 или я неудачнег 16 апреля 2012 в 11:51


Почитал, занятно. С закрытыми профилями действия с id в урл прокатывает, некритичные действия. Карму, сообщение отправить, посмотреть посты… Если это для вас критично, попробуйте отписать в багтрекер. Возможно разработчики исправят.

кто-то мнимый может читать ЛС других пользователей, менять им статусы, просматривать закрытые профили и тд,

Это уже перебор. На такие действия есть проверка и не прокатит. Можете проверить.
По кукисам, это не к Инстанту. Могут стащить куки с любого сайта. Это скорее вопрос локальной безопасности. Прошли те времена, когда лазили с отключенными куками. Простого пользователя проще сбрутить, чем заморачиваться с куками. Юзер ведь он такой, может запросто установить пароль 1234. Только вот что это даст?

Марат

Зачем мне что-то проверять, если я видел живой пример — как один умник залез на чужой профиль и выложил в блог переписку ЛС, вы считаете это не критичным? ЛС это как бы личные сообщения и читать их третьим лицам это уже явный перебор…
0
#2 Дыры в 1.9 или я неудачнег 15 апреля 2012 в 21:00


И кто вам сказал что при просмотре исходного кода он сохранит примененные изменения в коде? на практике пробывали?

Сергей

Безусловно он не сохранит изменение в коде, мне это понятно даже как не программисту.
Вопрос совершенно в другом. Внимательнее читайте мои сообщения.
0
#3 Дыры в 1.9 или я неудачнег 15 апреля 2012 в 20:59


Root13, и что это дает, если я узнаю урл? да абсолютно ничего)
Вам еще рано говорить о дырах) хотите я вам такие же фокусы покажу, с практически любой известной cms?

Сергей

Именно по этой причине я и скрыл урл, так как он Вам не даст абсолютно ничего.
Можно более подробно почему мне рано говорить о дырах? Врем поздние? Или возрастом не вышел?
Мне фокусы показывать не нужно, не люблю я фокусников и клоунов.
Прочитав мое первое сообщение в теме — Вы поняли суть моего вопроса?
0
#4 Дыры в 1.9 или я неудачнег 15 апреля 2012 в 20:30


Народ вы точно решили убить сайт, второй топик подряд на который орут антивирусы. Думаете яндекса автоматика или гугла не среагирует.
Ну зачем выкладывать куски это хрени в паблик, чем оно поможет. И так понятно что там.
Вас же интересует как это залито, а не на какие проно сайты ведет. glasses
Да и неплохо фильтр прикрутить к форуму, от таких штук в постах.

garry

Причем тут вирусы? Я не одного слова про вирусы не написал, у меня на сервере нет шелов и прочей гадости.
Я пытаюсь найти решение где один умный пользователь может просматривать закрытые профили других, читать их ЛС, изменять статусы
и т.д.
0
#5 Дыры в 1.9 или я неудачнег 15 апреля 2012 в 18:50


А я постоянно схватваю во всех js...

ph3no

С JS у меня все в порядке — проверял каждый файл, прогонял архив антивирусами — 100% чисто все.
0
#1 Дыры в 1.9 или я неудачнег 15 апреля 2012 в 17:41
Столкнулся с проблемой что на сайт релизом 1.9 гадят и гадят очень нагло, но в последние время это уже перебор: кто-то мнимый может читать ЛС других пользователей, менять им статусы, просматривать закрытые профили и тд, дошло до того что он выкладывает инструкцию как это можно делать:



Я увы не программист и мне сложно понять и закрыть все эти дыры, каюсь что устанавливал разные дополнение, но наверняка Вы это тоже делали.

Кто может помочь, разумеется за деньги решить все это вопросы с дырами и дать сайту жить нормально?
0
#1 Пользователь удаляет других пользователей 18 февраля 2012 в 11:53
Добрый день, возникла неприятная проблема, конечно сложно это назвать дыркой, но все же.

Есть сайт на instant.cms.1.9 — один корявый пользователь рассылает спам
в виде таких ссылок

users/22/delprofile-yes.html

при нажатии на которую понятное дело пользователь удаляется без предупреждения

Понятное дело что пользователи сами виноваты в том что жмут на такие ссылки, но все же
подскажите как исправить эту проблему.

Заранее спасибо.
0
#1 Столкнулся с вирусом на instant cms 16 июня 2011 в 23:26
Суть проблемы такая...
каким то образом взломали сайт на последнем релизе instant, вернее не сайт а всего лишь отредактировали
файлик — .htaccess
прописав в нем доступ с мобильных девайсов на партнерскую программу.

интересно то, что при просмотре с обычного КП браузера — сайт открывается нормально, но стоит сайт посмотреть на
мобильном девайся (проверял на iPad, HTC Desire HD) вместо сайта открывается партнерская программа...

моя ошибка в том, что я сразу удалил вирусные строки из .htaccess, так что точно сказать что за ПП я не могу :(
но советую всем просмотреть этот файл на предмет лишних строк....

Интересно еще то, что по мимо доступа login/pass на ftp где кроме сайта на instant cms есть еще и другие системы управления сайтом — там все нормально, что предполагает — ftp пароль не был взломан… значит нужно дырку искать где-то еще…
0
#9 InstantMAP карту на главную страницу 7 января 2011 в 20:13


как и любой другой компонент
Админка -> Настройки сайта -> Главная страница -> Компонент на главной

r2

Это тоже понятно, но все же есть ли возможность именно в МОДУЛЕ вывести карту?
0
#1 InstantMAP карту на главную страницу 7 января 2011 в 14:21
Пожалуйста подскажите как вывести карту InstantMAP на главную страницу?

Меню->Создать пункт->Открыть компонент instantMAP — это все понятно, но основная карта находится по ссылке /maps,
как сделать что бы карты была в модуле и как следствие отображалась на главной странице, как на тестовом сайте.

Заранее спасибо.
0

InstantCMS Team

Связь с нами
Email dev@instantcms.ru

Делаем полезные Интернет проекты с 2008 года 💫

О проекте

Поддержка

Дополнения

Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.