[网络安全]supesite7.0发现可修改任何文章内容漏洞

2010年1月6日星期三 | | |

supesite7.0发现可修改任何文章内容漏洞

网站"入侵"方法:

1、注册一个会员,并登录后台
2、找到一篇您需要"入侵"的文章,记住该文章的ID号,ID号即为文章的itemid号
3、在浏览器地址栏中输入:http://网站的域名/admincp.php?action=spacenews&op=edit&itemid=文章的ID号
4、不用多说了吧,您就任意地改吧!任意的添加吧!

解决办法共3种:

1、关闭网站自动审核的功能,在用户组里修改可防止被恶意修改后的文章在前台显示出来,修改后的文章会进入待审箱,但仍然无法阻止文章被他人恶意修改,且无法恢复。此方法不用修改任何源码。
2、临时方法:后台管理:用户组:普通用户组:发布资讯关闭,资讯需要审核开启。

QQ截图未命名

3、修改admin/admin_spacenews.php的代码,添加一段判断代码,此方法可以禁止别人的入侵。
首先找到:

if($thevalue) {

在其后加上

if (($isuid) && ($_SGLOBAL['supe_uid'] != $thevalue['uid']) && ($_GET['op'] == 'edit')) {
showmessage('submit_invalid_error');
}

From: net

我的QQ空间
redlinux kernel 如何重启apach
用ssh 连接后.登陆,执行命令如下:service httpd restart/start/s...
 

0 评论:


所有文章收集于网络,如果有牵扯到版权问题请与本站站长联系。谢谢合作![email protected]