全球主机交流论坛
标题:
关于恶作剧的公告想到的种种(用DZ7.2以前版本的都来看看吧)
[打印本页]
作者:
shy9000
时间:
2011-10-2 14:18
标题:
关于恶作剧的公告想到的种种(用DZ7.2以前版本的都来看看吧)
[img]http://www.loc.888543.xyz/admincp.php[/img]
复制代码
这是当年DZ7.1以前版本都会出的一个DZ BUG
看了这段代码的兄弟猜猜作用吧!
修正方案[应该是通用的吧,闪翼的数据库备份里面找到了这个当初写的修正方法]:
找到:admin/cpanel.share.php
if($cpaccess == 0) {
clearcookies();
showmessage('admin_cpanel_noaccess', 'logging.php?action=login', 'HALTED');
复制代码
改成
if($cpaccess == 0) {
showmessage('admin_cpanel_noaccess', '', 'noperm');
复制代码
即可防止恶作剧.
应该是可以通用的,嗯
[
本帖最后由 shy9000 于 2011-10-2 14:26 编辑
]
作者:
shy9000
时间:
2011-10-2 14:19
现在的CSRF攻击原理也就是类似于此吧
退出的FORMHASH也就是为了防止这种不人道的事情.
没事翻旧东西科普下
作者:
shy9000
时间:
2011-10-2 14:21
C大改了吧,省得纠结
作者:
有容乃大
时间:
2011-10-2 14:25
拿 过去式的漏洞 来诋毁C大?
作者:
qiqibian
时间:
2011-10-2 14:26
原帖由
有容乃大
于 2011-10-2 14:25 发表
拿 过去式的漏洞 来诋毁C大?
确实是漏洞 C大需要修改
作者:
shy9000
时间:
2011-10-2 14:30
原帖由
有容乃大
于 2011-10-2 14:25 发表
拿 过去式的漏洞 来诋毁C大?
也不算过时了吧,这种CSRF在DZ现在的一些插件里面很常见(用来Q J用户做一些操作,嘎嘎),写插件的几个同志里面有一个专门研究这种漏洞的,这个漏洞以前在我们这帮玩家发现之后就报告官方了,所以DZ7.1之后就没有这个BUG了.至于DZ7.1以前呢,我就不知道官方怎么处理了.
作者:
shy9000
时间:
2011-10-2 14:40
admincp.php这个是DZ6.0的位置
if($cpaccess == 0) {
clearcookies();
loginmsg('noaccess');
复制代码
作者:
Showfom
时间:
2011-10-2 15:12
欢迎光临 全球主机交流论坛 (https://loc.888543.xyz/)
Powered by Discuz! X3.4
拿 过去式的漏洞 来诋毁C大?
拿 过去式的漏洞 来诋毁C大?