Недостаточная фильтрация входящих данных

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: Все версии

Степень опасности: Высокая
Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
$count_result = 0;

ниже добавьте:
$sql_count = "";

Откройте файл engine/inc/templates.php и найдите:
$allow_save = false;

ниже добавьте:
$_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
    $_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );
Другие новости по теме:

Категория: Баги ----- Просмотров: 3409 ----- Комментариев: 22

Вернуться

  • (ppoe)

  • 14 сентября 2010 15:50
  • Группа: Модератор +
  • ICQ: 116205
  • Регистрация: 22.04.2009
  • Комментариев: 230
  • Публикаций: 7
^
Большое Спасибо!

--------------------
Интересная личность
Резкий, как удар серпом по яйцам, жёсткий, как удар молотом — живой советский герб.
  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
$count_result = 0;

ниже добавьте:
$sql_count = "";

собственно, непонятно что это даст

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS

  • Skater

  • 14 сентября 2010 16:08
  • Группа: User
  • ICQ: --
  • Регистрация: 5.11.2009
  • Комментариев: 26
  • Публикаций: 1
^
Цитата: nugumanov
собственно, непонятно что это даст

Полностью вас поддерживаю.

Мне так кажется если бы эта уязвимость была бы высокая, то её бы давно уже опубликовали на dle-news.ru
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.h
tml smile

  • travian

  • 14 сентября 2010 16:16
  • Группа: User
  • ICQ: --
  • Регистрация: 22.05.2010
  • Комментариев: 12
  • Публикаций: 0
^
Мне так кажется если бы эта уязвимость была бы высокая, то её бы давно уже опубликовали на dle-news.ru

Давно уже опубликовали
_http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.
html

  • megasend

  • 14 сентября 2010 17:46
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Может, приведете пример, как такое осуществить? Просто мне, как начинающему изучать пхп и мускул, интересно узнать ЧТО мы исправляем. Спасибо.
  • Группа: User
  • ICQ: --
  • Регистрация: 4.09.2008
  • Комментариев: 16
  • Публикаций: 0
^
Может, приведете пример, как такое осуществить?

Ага инструкцию по взлому сайтов на DLE bm

  • SKDzR

  • 14 сентября 2010 19:19
  • Группа: User
  • ICQ: 819585
  • Регистрация: 1.08.2008
  • Комментариев: 102
  • Публикаций: 11
^
Цитата: nugumanov
собственно, непонятно что это даст

думаю, что-то типо наследования этой переменной от других модулей убивает

--------------------
SKRIPTING.NET - Программирование на PHP под DataLife Engine

  • Skater

  • 14 сентября 2010 19:24
  • Группа: User
  • ICQ: --
  • Регистрация: 5.11.2009
  • Комментариев: 26
  • Публикаций: 1
^
Цитата: стример
http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.h

tml

Сори не заметил bw

  • megasend

  • 14 сентября 2010 20:57
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
VirusGold, я не преследую такие цели, т.к. уважаю чужой труд. Я хочу узнать исключительно для ознакомления. Кто может, скинь, пожалуйста, в ЛС как осуществить. Спасибо.
  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
http://ru-ua.ws/showthread.php?p=726#post726

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS

  • DImkA

  • 15 сентября 2010 00:31
  • Группа: r00t Admin
  • ICQ: 5160909
  • Регистрация: 12.12.2007
  • Комментариев: 137
  • Публикаций: 74
^
nugumanov,
блиаааа... ну ппц как дети. Неужели ты думаешь что целсофт обязан объяснять в чем уязвимость и как ее заюзать?!? В чем неадекватность ответа??? Вполне адекватно ответил=) Выпустили фикс РАДУЙТЕСЬ закрыли дыру. Нет нужно еще и описание как юзать, с чем юзать, как выполнить запрос для смены паса с этой уязвимостью....и т.д. и т.п. no

--------------------
Йа
  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
и ты туда же! wink
Просто целка штампует багфиксы, не зная к какому типу уязвимости относится бага?
Вопрос был обычный без намека на указание как пользоваться дырой!

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS

  • Diren

  • 15 сентября 2010 06:41
  • Группа: User
  • ICQ: 441200771
  • Регистрация: 24.08.2009
  • Комментариев: 28
  • Публикаций: 0
^
Я думаю что нет такого понятия как полностью защищенный скрипт. Всегда есть баги и дыры все просто не предвидеть при написании скрипта.
Лично целсофт узнает об уязвимостех только в тех случаях когда им скажет кто нибудь с хакеров или в инете выпустят данную уязвимость.
Примером является сайт пентагона в теории над ихним скриптом по защите работают лучшее специалисты и кучу дыр залатали но все равно ламают и находят другие дыры.
nugumanov,
Первая по моему не дает сделать сквол инекцыю через форму поиска.
А вторая латает дыру с раскрытием путей.

  • soot

  • 15 сентября 2010 17:41
  • Группа: User
  • ICQ: --
  • Регистрация: 12.12.2008
  • Комментариев: 79
  • Публикаций: 3
^
Цитата: nugumanov
Просто целка штампует багфиксы, не зная к какому типу уязвимости относится бага?

Конечно знает - просто говорить он не обязан, в целях безопасности, не все же в один день применяют баг-фиксы.
  • Группа: User
  • ICQ: --
  • Регистрация: 17.09.2010
  • Комментариев: 61
  • Публикаций: 0
^
У меня после етого ваще пишет: соединение закрыто удаленным сервером....... no
  • Группа: User
  • ICQ: --
  • Регистрация: 17.09.2010
  • Комментариев: 61
  • Публикаций: 0
^
Сорри, протупил, все работает, спс........... bk

  • WWWital

  • 24 сентября 2010 19:52
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Спасибо
  • Группа: User
  • ICQ: --
  • Регистрация: 30.05.2010
  • Комментариев: 10
  • Публикаций: 0
^
Все работает стабильно ! Спасибо ! smile

  • RA1Sh

  • 7 октября 2010 17:46
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
http://raish.ru/ - тут тоже бага эта есть
  • Группа: User
  • ICQ: --
  • Регистрация: 26.10.2009
  • Комментариев: 20
  • Публикаций: 0
^
Как ломануть лучше выложите

  • AlexBen

  • 28 декабря 2010 20:11
  • Группа: User
  • ICQ: 1739390
  • Регистрация: 29.01.2010
  • Комментариев: 274
  • Публикаций: 44
^
.Sergei.,
выебись в жопу лучше

--------------------
Оставить отзыв Сайту
Мы будем благодарны за ваше внимание!
На самую главную
На главную

Релизы CMS DLE
Шаблоны для DLE
Модули для DLE
Хаки
Платные DLE шаблоны & модули
Баги
Скрипты для сайта
Вебмастеру
Для фотошопа
Все последние новости