Недостаточная фильтрация входящих данных

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Средняя
Ручное исправление:

Откройте файл: engine/inc/functions.inc.php

найдите:

function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, ''') !== false) ||
            (strpos($url, '.php') !== false)
           )
        {

            if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

        }

    }

}


Замените на:

function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, ''') !== false) ||
            (strpos($url, '.php') !== false)
           )
        {

            if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

        }

    }

    $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, ''') !== false)
           )
        {

            die("Hacking attempt!");

        }

    }

}


Откройте файл: engine/modules/functions.php

найдите:

function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, ''') !== false) ||
            (strpos($url, '.php') !== false)
           )
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");
        }

    }

}



Замените на:

function check_xss () {

    $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, './') !== false) ||
            (strpos($url, '../') !== false) ||
            (strpos($url, ''') !== false) ||
            (strpos($url, '.php') !== false)
           )
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");
        }

    }


    $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

    if ($url) {

        if ((strpos($url, '<') !== false) ||
            (strpos($url, '>') !== false) ||
            (strpos($url, '"') !== false) ||
            (strpos($url, ''') !== false)
           )
        {
            if ($_GET['do'] != "search" OR $_GET['subaction'] != "search")    die("Hacking attempt!");

        }

    }

}
Другие новости по теме:

Категория: Баги ----- Просмотров: 2992 ----- Комментариев: 7

Вернуться

  • djoni5

  • 26 сентября 2008 19:36
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Смысл можно описать ? что будет менятся если прописать эти коды...? belay

  • Goodcat

  • 26 сентября 2008 22:00
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
защита увеличится

  • JayMoff

  • 1 октября 2008 02:50
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Не пашет, ошибки начинает выдавать
  • Группа: r00t Admin
  • ICQ: --
  • Регистрация: 11.12.2007
  • Комментариев: 411
  • Публикаций: 389
^
Я не особо силён в php, но, вроде как, можно, запретить с помощью xss взломать сайт и что-то ему сделать :) а что сделать, не понятно...

На всех сайтах, никто не в силах обьяснить. Как я понял зз кода, вроде бы это связано с добавлением новости и поиском...
Может кто-то может конкретно обьяснить?! Обьясните пожалуйста!

--------------------
mastermind.pp.ua/datalife-engine Всё для Datalife Engine (DLE)

Правила форума

Каждый админ должен построить сеть, посадить кактус и выростить кота!

  • JayMoff

  • 1 октября 2008 22:06
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
C помощью XSS мона инъекцию в сайт провести, а там уж и залить какой нито скриптег сторонних производителей))
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Ошибок немеренно :(

Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /www/engine/modules/functions.php on line 733
  • Группа: User
  • ICQ: 4866438
  • Регистрация: 7.11.2008
  • Комментариев: 59
  • Публикаций: 3
^
Посмотрел коды))) Из-за этих кодов будут сайты риально тормозить у кого запросов много или у кого календарь стоит на сайте, а он у всех почти)))))

Так что выбирайте люди безопасность или удобство)

А автору отдельное спасибо и респект....

--------------------
рисую, адаптирую, рипаю любые шаблоны
icq 4866438
На самую главную
На главную

Релизы CMS DLE
Шаблоны для DLE
Модули для DLE
Хаки
Платные DLE шаблоны & модули
Баги
Скрипты для сайта
Вебмастеру
Для фотошопа
Все последние новости