+20.99
333 читателя, 272 топика

Серьезная дыра с выходом из сети

В предыдущем своем проекте обнаружил дыру, которую решил проверить в этом движке и она сработала.

Суть в следующем: если в посте или в комментарии опубликовать ссылку /login/exit, то каждый нажавший ее пользователь будет разлогинен (аналог ссылке «выход» возле имени юзера справа сверху).

В посте линк не привожу по понятным причинам. Желающие могут попробовать в своих проектах.

Так как для апача оба этих линка выглядят одинаково, в текущей реализации выход вижу пока один — добавление к правильному линку «выход» случайного get-параметра, который максимально сложно будет подделать и проверять его на сервере. Либо перевести линк на post.

Отдельная тема для размышления — проверка всех прочих «системных» ссылок на подделку и возможные последствия для рядовых посетителей.

Взлом сайта

Здравствуйте!

У меня происходит взлом сайта. Злоумышленники вставляют на моем сайте внешние ссылки, визуально закрытые, но открытые для индексации.

Хостинг сообщает, что взлом происходит через подозрительные файлы LiveStreet.

/home/yaotdikh/public_html/blog/templates/compiled/synio/0b1afa8c2514a92285582b642c4671c99138b1fa.file.page.tpl.php

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/b0615a9655d4b446a1ca96d4d876bc8611b0adcf.file.topic.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/929848b885f20d3bd4919adc7834880e8d2aed98.file.comment_paging.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/17cb67555072beee834585db5a2468d7b96273c3.file.topic_vkcomments.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/d7435d6c70197bfcc0d3d4aeee59b0922aac50a3.file.blog.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/9b85fe0629e9b89d81d374834bcd9ceba12fe565.file.blog.tpl.php
String:: c99

Не показывается видео

Не показывается видео добавляю видео код, заключаю в теги, и при публикации ничего не отображается…
в этот топик тоже вставлено видео… как видите ничего не видно…

Ошибка загрузки картинок

Обновился вчера через SVN. Не работает загрузка картинок. В логах вот такая ошибка:
[Tue Feb 17 02:38:46 2009] [error] [client 79.120.44.172] PHP Warning:  copy(/home/data/www//uploads/images/b/c/e/1/1/20c96d1486.jpg) [<a href='function.copy'>function.copy</a>]: failed to open stream: No such file or directory in /home/data/www/include/function.php on line 426, referer: http://site.ru/topic/add/

появился двойной слеш, что-то с путями… попробовал поменять в конфиге с /uploads на uploads, в логе такая ошибка:
[Tue Feb 17 12:30:27 2009] [error] [client 79.120.45.43] PHP Warning:  copy(/home/data/www/uploads/images/b/e/6/d/1/d69e33cbba.jpg) [<a href='function.copy'>function.copy</a>]: failed to open stream: No such file or directory in /home/data/www/include/function.php on line 426, referer: http://site.ru/topic/edit/234257/

проверил права на все папки, везде стоит разрешение на запись. Помогите пожалуйста советом, куда копать? Заранее спасибо!

Первые баги

Скачал, установил, почитал и решил свести все в кучу.

1) баг с путями к временным папкам при установке — решение
2) баг с каптчей при регистрации — пока не решено
3) баг с аватарами
3) на странице регистрации фавикон хабра
4) в списке топиков не отображается кол-во новых кааментов в каждом топике — этого просто нет

У меня пока все ибо я не могу зарегистриваться :)
UPD:
5) При создании самого первого топика и камента к нему у меня первый камент не учелся в прямом эфире и в кол-ве каментов к топику
6) рейтинг — у меня есть 2 юзера и у обоих рейтинг по 0 хотя за каждого есть по одному голосу

Отключить AJAX у комментариев

Можно ли сделать так, чтобы комментарии добавлялись обычно, с перегрузкой страницы? Проще говоря, нужно отключить AJAX у комментариев, потому что он жутко медленно работает у меня почему-то — по 30-60 секунд комментарии добавляются и удаляются. На том же хостинге жумла аякс вертит только в путь.

Письма не приходят

У меня перестали приходить оповещения о ответах на мои комменты с сайта LiveStreet.ru. Это продолжается уже около недели (может меньше).

Почта Gmail.

Все галочки в настройках аккаунта стоят как положено. В спаме писем тоже нет.

Залогинился под чужим логином на сайте livestreet 1.0.3 (РЕШЕНО)

Сегодня утром захожу на сайт, вчера вечером предварительно вышел из личного кабинета администратора, и заметил что залогинен я под чужим логином! При этом паролей и логинов не вводил, просто сразу был залогинен. Ребята подскажите в чем баг, очень критичный вопрос, ведь глюк может и повториться, а проект уже прилично посещаемый пользователями?!!!



Конфигурация:

date = 2013-04-21 09:22:30

[versions]; Версии
php = 5.4.6-1ubuntu1.2; Версия PHP
smarty = Smarty-3.1.8; Версия Smarty
ls = 1.0.2; Версия LiveStreet
adminpanel = 2.0.382; Версия админпанели

[site]; Информация о сайте
skin = fortune; Текущий скин
client = Mozilla/5.0 (Windows NT 6.1; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0; Веб-клиент

[plugins]; Активные плагины
aceadminpanel = v.2.0.382; aceAdminPanel
dpb = v.1.2; Отключение персональных блогов
editcomment = v.1.0.4; Edit comment
fortune = v.1.0; Fortune template
page = v.1.3.2; Static page
payment = v.1.1; Payment
purse = v.4.1.0; Purse Plugin
seo = v.0.3.0; SEO
simplesearch = v.2.0.0; Simple Search and Auto Completer
sitemap = v.0.4.0; Sitemap