Мод Visual Warning на самом деле не защищает от операций над админом

Автор Jerry, 01 декабря 2008, 21:55:49

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Jerry

Поставил я Visual Warning Mod (мод для модераторов, предупреждения и наказания), гляжу:
Мод внешне защищает от посягательств на админа - пишет ошибку при попытке заткнуть админа или скрыть пост админа и не генерирует страницу операций над админом.
Но достаточно просто сохранить страницу операции над любым другим пользователем, а затем сохранить страницу и подправить hidden поля в html страници или любым другим способом подправить отправку POST методом, и операция будет успешна произведена.
Никаких проверок в AddWarning2(), "защита" защищает только на вид, полностью доверяя данным в POST.
Обязательно добавьте в VisualWarning11.php после
$_REQUEST['timelast'] = isset($_REQUEST['timelast']) ? (int) $_REQUEST['timelast'] : 0;
это:
if (!isset($_REQUEST['user'])==1) fatal_error("haha");
или что-нибудь подобное.
//Например, для проверки админской группы юзера - запрос и проверка ID_GROUP с additionalGroups по аналогии с тем, что в AddWarning()


Jerry

У меня в теме опечатка (я просто просматривал все свои темы):
Не if (!isset($_REQUEST['user'])==1) fatal_error("haha");, а if ($_REQUEST['user']==1) fatal_error("haha"); ;D
Я просто не печатал целиком, а скопировал кусок и подправил конец, забыв про начало.
Хотя с SMF2 этот мод уже не актуален...