关于恶作剧的公告想到的种种(用DZ7.2以前版本的都来看看吧)

shy9000

1. [img]http://www.hostloc.com/admincp.php[/img]

复制代码

这是当年DZ7.1以前版本都会出的一个DZ BUG
看了这段代码的兄弟猜猜作用吧!
修正方案[应该是通用的吧,闪翼的数据库备份里面找到了这个当初写的修正方法]:
找到：admin/cpanel.share.php

1.                 if($cpaccess == 0) {
   
2.                         clearcookies();
   
3.                         showmessage('admin_cpanel_noaccess', 'logging.php?action=login', 'HALTED');

复制代码

改成

1.                  if($cpaccess == 0) {
   
2.                         showmessage('admin_cpanel_noaccess', '', 'noperm');
   

复制代码

即可防止恶作剧.
应该是可以通用的,嗯

[ 本帖最后由 shy9000 于 2011-10-2 14:26 编辑 ]

shy9000

现在的CSRF攻击原理也就是类似于此吧
退出的FORMHASH也就是为了防止这种不人道的事情.
没事翻旧东西科普下

shy9000

C大改了吧,省得纠结

有容乃大

  拿 过去式的漏洞 来诋毁C大？

qiqibian

原帖由 有容乃大 于 2011-10-2 14:25 发表
  拿 过去式的漏洞 来诋毁C大？

确实是漏洞 C大需要修改

shy9000

原帖由 有容乃大 于 2011-10-2 14:25 发表
  拿 过去式的漏洞 来诋毁C大？

也不算过时了吧,这种CSRF在DZ现在的一些插件里面很常见(用来Q J用户做一些操作,嘎嘎),写插件的几个同志里面有一个专门研究这种漏洞的,这个漏洞以前在我们这帮玩家发现之后就报告官方了,所以DZ7.1之后就没有这个BUG了.至于DZ7.1以前呢,我就不知道官方怎么处理了.

shy9000

admincp.php这个是DZ6.0的位置

1. 
   
2. if($cpaccess == 0) {
   
3.         clearcookies();
   
4.         loginmsg('noaccess');
   

复制代码

Showfom