关于恶作剧的公告想到的种种(用DZ7.2以前版本的都来看看吧)

shy9000

[ol]

[/ol]复制代码这是当年DZ7.1以前版本都会出的一个DZ BUG
看了这段代码的兄弟猜猜作用吧!


修正方案[应该是通用的吧,闪翼的数据库备份里面找到了这个当初写的修正方法]:
找到：admin/cpanel.share.php[ol]

                if($cpaccess == 0) {

                        clearcookies();

                        showmessage('admin_cpanel_noaccess', 'logging.php?action=login', 'HALTED');[/ol]复制代码改成[ol]

                 if($cpaccess == 0) {

                        showmessage('admin_cpanel_noaccess', '', 'noperm');

[/ol]复制代码即可防止恶作剧.
应该是可以通用的,嗯

[ 本帖最后由 shy9000 于 2011-10-2 14:26 编辑 ]

shy9000

现在的CSRF攻击原理也就是类似于此吧
退出的FORMHASH也就是为了防止这种不人道的事情.
没事翻旧东西科普下

shy9000

C大改了吧,省得纠结

有容乃大

  拿 过去式的漏洞 来诋毁C大？

qiqibian

原帖由 有容乃大 于 2011-10-2 14:25 发表




  拿 过去式的漏洞 来诋毁C大？
确实是漏洞 C大需要修改

shy9000

原帖由 有容乃大 于 2011-10-2 14:25 发表




  拿 过去式的漏洞 来诋毁C大？
也不算过时了吧,这种CSRF在DZ现在的一些插件里面很常见(用来Q J用户做一些操作,嘎嘎),写插件的几个同志里面有一个专门研究这种漏洞的,这个漏洞以前在我们这帮玩家发现之后就报告官方了,所以DZ7.1之后就没有这个BUG了.至于DZ7.1以前呢,我就不知道官方怎么处理了.

shy9000

admincp.php这个是DZ6.0的位置[ol]

if($cpaccess == 0) {

        clearcookies();

        loginmsg('noaccess');

[/ol]复制代码

Showfom