"Входим" в админку скрипта мфс и ничего этим не добиваемся
Ошибка заключается в следующем - набираем bux.ru/admin/head.php и видим в принципе почти всю админку.

Увидев админку мы можем улыбнуться, выцепить админа, который страшно испугается, что его взломали и потребовать с него денег якобы за фикс, который предложат, например, сменой имени админки. Но сделать-то в принципе ничего нельзя - мы видим только файл с HTML кодом.

Варианты фикса:

Вариант 1: в .htaccess в админке добавим:
<Files "head.php">
  Order Deny,Allow
  Deny from all
</Files>

Вариант 2: ползём в первые статьи на шопе, находим защиту директорий через htaccess и ставим ее.

Вариант 3: переименовываем админку.

Я бы предпочёл первый.

Комментируем...


Рубрика: Бесплатное » Дыры, ошибки   |   Автор: Alex   |   Просмотры: 5364
Комментариев: 27
Публикаций: 0
ICQ: 264441456
- 56 +
  Автор: lemax   |   Группа: V.I.P.   |   Дата: 03 сентября 2011  
гуд Спасибо
Комментариев: 90
Публикаций: 6
ICQ: 627021203
- 93 +
  Автор: sieg_klas   |   Группа: Пользователи   |   Дата: 03 сентября 2011  
блин и правда баг работает.
Комментариев: 27
Публикаций: 0
ICQ: 264441456
- 56 +
  Автор: lemax   |   Группа: V.I.P.   |   Дата: 03 сентября 2011  
Спасибо Alex-у. Сам наткнулся после этого 6 пост
Комментариев: 30
Публикаций: 1
ICQ: 9929292
- 93 +
  Автор: gosteff   |   Группа: Пользователи   |   Дата: 03 сентября 2011  
А что, про $_SERVER['PHP_AUTH_USER'] никто не слышал? )
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 03 сентября 2011  
Цитата: gosteff
А что, про $_SERVER['PHP_AUTH_USER'] никто не слышал? )

представление имею,но не пользовался...

джетсвап (вход в аккаунт) им пользовался вроде.больще пока нигде не встречал

для тех кто не понял - при входе вылазеет форма входа (подобно защите черех htaccess).В принципе,хттп авторизация ничем не уступает по защите авторизации через htaccess,сказать,что превосходит не могу.но тем не менее...

суть вся в отправке заголовков header() браузеру
Комментариев: 9
Публикаций: 1
ICQ: 612985992
- 2 +
  Автор: Yulan   |   Группа: Пользователи   |   Дата: 03 сентября 2011  
Спасибо...
Комментариев: 217
Публикаций: 14
ICQ: 207679
- 318 +
  Автор: vlaf   |   Группа: Пользователи   |   Дата: 03 сентября 2011  
а про файл left.php все забыли??
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 03 сентября 2011  
ну ёпт то же самое) добавить в htaccess ток вместо head.php вписать left.php

а смысл вообще? вот ты считаешь,что это баг?
баг - это когда ты можешь добраться до чего либо и этим воспользоваться
ошибка - если после твоих действий скрипт выдаёт ошибку
недочёт - ты видишь что то левое но ничо с этим сдеать не можешь

и смысл с того что left.php открыт? ну и что?)))

ты же не вешаешься из за этого:
http://idwm.ru/blocks/loginform.php
??
Комментариев: 240
Публикаций: 6
ICQ: 573235722
- -896 +
  Автор: VELIK505   |   Группа: Программисты   |   Дата: 03 сентября 2011  
Так там же чек куки если в кукишках сессия не валяеться админская то админка редиректит нах*й на 404
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 03 сентября 2011  
ну школьник увидит верхнюю часть дизайна админки и отсчастья писаться будет,думая,что взломал проект)
Комментариев: 217
Публикаций: 14
ICQ: 207679
- 318 +
  Автор: vlaf   |   Группа: Пользователи   |   Дата: 03 сентября 2011  
Alex,
только это и нашел? твой сео весь такой дырявый
Комментариев: 137
Публикаций: 3
ICQ: 641954255
- 165 +
  Автор: sifon   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Цитата: Alex
ну школьник увидит верхнюю часть дизайна админки и отсчастья писаться будет,думая,что взломал проект)

Мега-школоло
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Цитата: VLAF
только это и нашел? твой сео весь такой дырявый

если это дыра - в неё можно пролезть...странно что ты не пролез.

твой idwm.ru вообще то стоит на моей сборке скрипта и раз у меня всё такое дырявое,почему испольуешь мою сборку? нельзя было себе скрипт написать,хотя и предлагаешь услуги?
Комментариев: 217
Публикаций: 14
ICQ: 207679
- 318 +
  Автор: vlaf   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Alex,
это самая первая версия mfs 2.2 я ее дорабатывал оочень долго поэтому когда стал вопрос на каком скрипте открывать сайт я выбрал его. темболее я его хорошо знаю и могу доработать если что.

кстати скрипт я очень сильно оптимитизировал раза так в 4-5. от твоей сборки там осталась основа и больше почти ничего
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Цитата: VLAF
стати скрипт я очень сильно оптимитизировал раза так в 4-5. от твоей сборки там осталась основа и больше почти ничего

Может и да. Но я для еще лучшей оптимизации посоветовал бы в проверках например на пустоту ( if($lol == "") ), возвращать false а не футер инклюдить в случаии если условие выполнелось!
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Цитата: Green-wm
Может и да. Но я для еще лучшей оптимизации посоветовал бы в проверках например на пустоту ( if($lol == "") ), возвращать false а не футер инклюдить в случаии если условие выполнелось!

и что? результат один и тот же)

вернётся файлс - ты ж один хрен заинклюдишь футер)
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Цитата: Alex
и что? результат один и тот же)

Да ну нахер? Вкурсе что с инклудом футера лично у меня сборка берет 425 кб. Без инклуда (return false), 405 кб. Вкурил о чом я? feel

Комментариев: 8
Публикаций: 1
ICQ: 310521002
- 11 +
  Автор: Mirk   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
спасибо! реально было открыто)
Комментариев: 217
Публикаций: 14
ICQ: 207679
- 318 +
  Автор: vlaf   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Alex,
поучи основы оптимитизации facepalm не в обиду!
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Цитата: VLAF
поучи основы оптимитизации facepalm не в обиду!

посмотрим,когда я покажу код третьего мфса - единственной разработки сделанной без всяких основ...тогда расскажешь мне о основах оптимизации...
Комментариев: 217
Публикаций: 14
ICQ: 207679
- 318 +
  Автор: vlaf   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Alex,
жду с нетерпением)
скоро допишу свой скрипт посмотрим чей лучше!
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Цитата: VLAF
Alex,
жду с нетерпением)
скоро допишу свой скрипт посмотрим чей лучше!

У Лёхи конечно лучше будет. Не в обиду. Просто ты не видел MFS 3. Да и у него и опыта больше и знаний. no
Комментариев: 217
Публикаций: 14
ICQ: 207679
- 318 +
  Автор: vlaf   |   Группа: Пользователи   |   Дата: 04 сентября 2011  
Green-wm,
я про время загрузки страницы!! про функционал и опыт я не спорю!!
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 05 сентября 2011  
Цитата: VLAF
Green-wm,
я про время загрузки страницы!! про функционал и опыт я не спорю!!

Угу, ты ведь на файлах делаешь. А MFS 3 использует MySQL! Если бы не использовал тогда ты мог соревроваться с ним. А так - увы. Ищи скрипт который тоже на файлах.
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 05 сентября 2011  
Цитата: VLAF
я про время загрузки страницы!! про функционал и опыт я не спорю!!

посмотрим)) заодно гляну,научился ли ты кешировать всю рекламу в файлы в массивы array ? это проще простого,но мне почему то кажется,что кто то будет выводить всю рекламу и всё что ему нужно через mysql_fetch_assoc и мне грузить об оптимизации


третий всё равно быстрее будет xD

там есть наработка,но сейчас не до неё...чуток разгружусь с сеоедитом.достину хотя бы его сейчаснего результата и доделаю.наработка была "для меня" но в итоге не хочу букс открывать.залью на хост и посмотрим у кого писька длиннее)
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 05 сентября 2011  
Цитата: Alex
mysql_fetch_assoc

Лучше будет через mysql_fetch_row() совместимо с list(). Сразу полученные данные в переменные пихать. Удобно.

Цитата: Green-wm
совместимо

* совместно.

Блин, Влад! Дай возможность редактировать свои комментарии! recourse
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 05 сентября 2011  
Влад,дай грину модера
или я не поставлю обратку на сеоедите на сфб)
Комментариев: 217
Публикаций: 14
ICQ: 207679
- 318 +
  Автор: vlaf   |   Группа: Пользователи   |   Дата: 05 сентября 2011  
Alex,
посмотрим через microtime()
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 05 сентября 2011  
Цитата: VLAF
Alex,
посмотрим через microtime()

это полюбас)

иначе никак ) посморим))

Комментариев: 29
Публикаций: 0
ICQ: --
- 50 +
  Автор: trdnepr   |   Группа: Пользователи   |   Дата: 05 сентября 2011  
Я админку сразу переименновал...........
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.