[网络安全]supesite7.0发现可修改任何文章内容漏洞
2010年1月6日星期三 | | |supesite7.0发现可修改任何文章内容漏洞
网站"入侵"方法:
1、注册一个会员,并登录后台
2、找到一篇您需要"入侵"的文章,记住该文章的ID号,ID号即为文章的itemid号
3、在浏览器地址栏中输入:http://网站的域名/admincp.php?action=spacenews&op=edit&itemid=文章的ID号
4、不用多说了吧,您就任意地改吧!任意的添加吧!
解决办法共3种:
1、关闭网站自动审核的功能,在用户组里修改可防止被恶意修改后的文章在前台显示出来,修改后的文章会进入待审箱,但仍然无法阻止文章被他人恶意修改,且无法恢复。此方法不用修改任何源码。
2、临时方法:后台管理:用户组:普通用户组:发布资讯关闭,资讯需要审核开启。
3、修改admin/admin_spacenews.php的代码,添加一段判断代码,此方法可以禁止别人的入侵。
首先找到:
if($thevalue) {
在其后加上
if (($isuid) && ($_SGLOBAL['supe_uid'] != $thevalue['uid']) && ($_GET['op'] == 'edit')) {
showmessage('submit_invalid_error');
}
From: net
博文
