Магазин скриптов. Безопасные сделки
WorldByte - Наш хостинг - партнер
Свободное общение | DCMS
Топ дня: )(aOS
d1nka (13 нояб 2023, в 9:34)
поставь dcms 6.6.4 чистый и дай мне админку
Неа, не дам. Или дам, но сначала уберу из твоих полномочий доступ к sql-запросам. Так пойдет?)
Something (13 нояб 2023, в 9:36)
Неа, не дам. Или дам, но сначала уберу из твоих полномочий доступ к sql-запросам. Так пойдет?)
ты тогда сразу блок по ip дай.) чтобы наверняка
d1nka (13 нояб 2023, в 9:37)
ты тогда сразу блок по ip дай.) чтобы наверняка
Ну если тебе дали админку, которая ШТАТНО включает полномочия на sql-запросы (и загрузки файлов), то в чем уязвимость?). Не ожидается ведь что владелец сайта сам начнет ломать свой сайт через админку). Просто не надо выдавать полномочия кому попало :-)
________
посл. ред. 13.11.2023 в 09:45; всего 1 раз(а); by Something
Something (13 нояб 2023, в 9:39)
Ну если тебе дали админку, которая ШТАТНО включает полномочия на sql-запросы (и загрузки файлов), то в чем уязвимость?). Не ожидается ведь что владелец сайта сам начнет ломать свой сайт через админку). Просто не надо выдавать полномочия кому попало :-)
Я же тебе выше уже описала уязвимость
d1nka (13 нояб 2023, в 9:47)
Я же тебе выше уже описала уязвимость
Я понял. Это не уязвимость. Это называется дырявый админ, который дал тебе полномочия заливать темы. Типа штатно через админку заливается архив с файлом .htaccess, который разрешает выполнение .php-файлов. Защититься от этого сложно, и в этом нет никакого смысла. Просто нефиг давать админку кому-попало.
Something (13 нояб 2023, в 9:51)
Я понял. Это не уязвимость. Это называется дырявый админ, который дал тебе полномочия заливать темы. Типа штатно через админку заливается архив с файлом .htaccess, который разрешает выполнение .php-файлов. Защититься от этого сложно, и в этом нет никакого смысла. Просто нефиг давать админку кому-попало.
можно защитить и легко.) просто при распаковке темы удалять штекер, избегая при этом подмены родного штекера.) и все
d1nka (13 нояб 2023, в 10:13)
можно защитить и легко.) просто при распаковке темы удалять штекер, избегая при этом подмены родного штекера.) и все
Свежая мысль. Создавай свою сборку с полностью безопасной админкой, которую можно даже гостям выдавать)
Something (13 нояб 2023, в 9:32)
Короче, вместо того чтобы говорить что дцмс дырявый, уточняйте что вам просто попалась левая школосборка с дырявыми модами). А то тут на бумасе существует целая категория пользователей, которые утверждают что весь дцмс насквозь дырявый, но ни одной дыры показать не могут)
Я не утвержаю что она с дырами, сам ею пользуюсь и моды делаю, но все в некоторых версиях они есть.
На пример, у програмистов появилась новая фишка, сайт имеет хорошую защиту, про то что некорые програмисты пихают в свои моды шелы, знают продвинутые, так ставят скрытую загрузку, через гет запрос, такакя загрузка есть в моде для дцмс ангру бирс, стоит на двух страницах, в магазине, и моих птицах, я даже ими пользуюсь если что-то надо загрузить в корень игры, грузит все подряд, даже фильтров нет.
Так что про это я тоже знаю, и удобно.
Something (13 нояб 2023, в 9:39)
Ну если тебе дали админку, которая ШТАТНО включает полномочия на sql-запросы (и загрузки файлов), то в чем уязвимость?). Не ожидается ведь что владелец сайта сам начнет ломать свой сайт через админку). Просто не надо выдавать полномочия кому попало :-)
Ты считаешь что уязвимости в админке это норм?) То есть писать сам сайт без них можно, а на админку можно и забить? Логика у тебя страшная, не давать админку кому попало. Откуда ты знаешь что за человек по ту сторону экрана. Сколько было знакомых в инете, с которыми чуть бы кумами не были и итог? Заняли денег и пропали. И она тебе не об SQL запросах говорит, а об загрузке мини файлового менеджера. Если можно переименовать файл PHP в jpg и полноценно его запустить, это вообще не Найс код, проверять расширение, а не MIME тип,это гением быть нужно. И это проблема не только DCMS, а почти всего кода, что пишут и грузят в паблик.
________
посл. ред. 13.11.2023 в 16:05; всего 1 раз(а); by Jack Sparrow
Jack Sparrow (13 нояб 2023, в 16:04)
Ты считаешь что уязвимости в админке это норм?) То есть писать сам сайт без них можно, а на админку можно и забить? Логика у тебя страшная, не давать админку кому попало. Откуда ты знаешь что за человек по ту сторону экрана. Сколько было знакомых в инете, с которыми чуть бы кумами не были и итог? Заняли денег и пропали. И она тебе не об SQL запросах говорит, а об загрузке мини файлового менеджера. Если можно переименовать файл PHP в jpg и полноценно его запустить, это вообще не Найс код, проверять расширение, а не MIME тип,это гением быть нужно. И это проблема не только DCMS, а почти всего кода, что пишут и грузят в паблик.
Я не так выразился, имелось ввиду конечно, что лучше вообще никому админку не давать. Да и вообще загрузка тем через админку - тот еще бред
Стр.: 1, 2, 3, 4, 5, ... 10
Форум На главную
Онлайн: 7
Время:
Gen. 0.1069
(c) ByMAS.RU 2010-2025