prowebber.ru - Тут есть все для настоящих вебмастеров

Чтение RSS Мы в твиттере
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Всё для вебмастера » Всё для DataLife Engine » DLE хаки » Мелкий баг в DLE всех версий

Мелкий баг в DLE всех версий


Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
У нас вы можете скачать бесплатно Мелкий баг в DLE всех версий.


Мелкий баг в DLE всех версий

Суть бага: если вы поставили блокировку по IP на своём аккаунте, то даже если злоумышленник зная ваш пароль не сможет авторизоваться, ибо будет задействована блокировка по IP. Но её легко обойти. Достаточно тому же злоумышленику взломать вашу почту (к которой привязан аккаунт) и запросить на сайте восстановление пароля - успешно сменив пароль, движок заодно скидывает блокировку по IP у данного аккаунта.

Степень опасности: Средняя

Исправление:
Открываем файл engine/modules/lostpassword.php и находим:
set password='" . md5( md5( $new_pass ) ) . "', allowed_ip = '' WHERE user_id='$douser'"

Заменяем на:
set password='" . md5( md5( $new_pass ) ) . "' WHERE user_id='$douser'"

Баг закрыт и блокировку не снять.

Автор: ShapeShifter (savgroup.ru)


0
Просмотры: 3225 VIP ProWebber | Комментарии (14)
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1seka93

  • 4 ноября 2010 18:36
  • Регистрация: 11.09.2010
  • ICQ: --
  • Комментариев: 20
спасибо поставим clapping

0

#2locoste

  • 4 ноября 2010 20:34
  • Регистрация: 14.09.2010
  • ICQ: 1498590
  • Комментариев: 34
спс) буду знать

0

#3fideral

  • 4 ноября 2010 20:54
  • Регистрация: 4.11.2010
  • ICQ: 973508
  • Комментариев: 15
После этого исправления, я так понимаю, нельзя будет сбросить привязку по IP. Как тогда быть если вдруг понадобится? Ручками базу править?

--------------------

+1

#4celsoft

  • 5 ноября 2010 07:50
  • Регистрация: 18.09.2010
  • ICQ: 424512512
  • Комментариев: 344
fideral, +1

--------------------

0

#5WooW

  • 5 ноября 2010 08:34
  • Регистрация: 22.10.2009
  • ICQ: --
  • Комментариев: 504
Степень опасности: Средняя

Что за бред?
Кто автор сия статьи?
"Взломать вашу почту"- с каких пор это стало пустяком?

И даже если взломать её, и кэпу понятно, что пароль можно восстановить.
Новость не зачёт.

+1

#6hell

  • 5 ноября 2010 08:57
  • Регистрация: 12.09.2010
  • ICQ: --
  • Комментариев: 90
  • Выкл.
Только мыло найти ещё надо )) Я вписываю фигню всякую вместо почты. По мне проще с Спанели сменить что хочеш. А её брутить бесполезно 3 неправильных ввода и бан на весь хостинг. Да 128 знаков сбрутить не реально. Сидеть и подбирать лет 10 будут )))

0

#7edunow.su

  • 5 ноября 2010 12:08
  • Регистрация: 29.05.2010
  • ICQ: --
  • Комментариев: 59
Не вижу смысла в установке данного исправления.

0

#8SKDzR

  • 5 ноября 2010 16:27
  • Регистрация: 5.01.2010
  • ICQ: --
  • Комментариев: 12
  • Выкл.
Это, как бы, не ошибка скрипта. Это специально сделано, и ломать это не надо. Самому же хуже будет, ИМХО.

+1

#9ShapeShifter

  • 6 ноября 2010 11:44
  • Регистрация: 19.09.2010
  • ICQ: 10280282
  • Комментариев: 52
Со степенью опасности тут переборщили)
Просто по себе помню, что взломать можно либо почту и потом уже с неё запрашивать восстановление пароля, либо взломать аккаунт и как правило н почте такой же пароль (правда сейчас большинство наконец стало окуратнее).
Но суть в том, что если попался пользователь у которого пароль от почты и мыла такой же, то блок по IP не помеха.
На своём форуме я сделал просто доп. поле для другого мыла, куда будет высылаться ссылка с разблокировкой IP (добавление нового IP в список), если поле не заполнено - используется мыло при реге.
В общем это не баг, а так сказать совет...

0

#10akaMisHka

  • 6 ноября 2010 18:19
  • Регистрация: 17.01.2010
  • ICQ: --
  • Комментариев: 20
fideral,
базу править не надо, тока один файл, как на мне ето не большая такая проблема, перезалить один файл

0

#11bkkb

  • 8 ноября 2010 06:49
  • Регистрация: 18.12.2009
  • ICQ: --
  • Комментариев: 219
ну вот ктото инфу уже поправил. я хотел воспользоваться но уже инфу убрали прийдеться на других сайтах поискать

0

#12Dimitriy32

  • 8 ноября 2010 14:15
  • Регистрация: 8.11.2010
  • ICQ: --
  • Комментариев: 30
Жаль что баг прикрыли...

0

#13bomoslik

  • 21 ноября 2010 18:21
  • Регистрация: 17.11.2010
  • ICQ: --
  • Комментариев: 40
да фигня всё это

--------------------

0

#14deeds

  • 30 ноября 2010 03:58
  • Регистрация: 30.11.2010
  • ICQ: --
  • Комментариев: 14
Да нифига не фигня

0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Max-energy.top - Заработок на электросчетчиках;)

Skripters.info - все для вебмастера. Только эксклюзивный контент.

Создание шаблонов DLE, быстро и недорого! 3wave.com.ua

Бро лей на лучшую партнёрку

Почти бесплатный VDS хостинг!

Поддержи сайт
Скрипты, cms, шаблоны, статьи по раскрутке

Опросы

Как часто вы бываете на сайте?

Захожу 1-2 раза в день
1-2 часа в сутки
Более 2 часов
Почти целый день тут smile

Архив новостей
Ноябрь 2016 (7)
Октябрь 2016 (10)
Сентябрь 2016 (8)
Август 2016 (11)
Июль 2016 (14)
Июнь 2016 (17)

Последние комментарии:

Искать людей

Ваши переписки