Securityfix 01

Gesperrt
Björn
Beiträge: 276
Registriert: Di 17. Sep 2002, 18:25
Kontaktdaten:

Securityfix 01

Beitrag von Björn » Do 19. Sep 2002, 22:30

SECURITYFIX 01

Unter bestimmten Umständen kann ein normaler User auf Teile des Backends zugreifen und Content verändern. Um dies zu verhindern muß folgender Code geändert werden:

Code: Alles auswählen

----------------------------
DATEIEN ÖFFNEN
----------------------------

front_frame/front_content_edit.inc.php
front_frame/front_content_edit.inc.php

-----------------------------
SUCHEN:
-----------------------------

page_open(
    array("sess" => "Contenido_Frontend_Session",
          "auth" => "Contenido_Frontend_Challenge_Crypt_Auth",
          "perm" => "Contenido_Perm"));

-----------------------------
ERSETZEN MIT:
-----------------------------

@page_open(   
  array("sess" => "Contenido_Session",
          "auth" => "Contenido_Challenge_Crypt_Auth",
          "perm" => "Contenido_Perm"));

-----------------------------
Zuletzt geändert von Björn am Mo 23. Sep 2002, 18:47, insgesamt 2-mal geändert.

Eppi
Beiträge: 252
Registriert: Di 17. Sep 2002, 16:33
Wohnort: Ilmenau (Thüringen)
Kontaktdaten:

Sicherheitsloch

Beitrag von Eppi » Do 19. Sep 2002, 22:47

Wirklich sehr unangenehm!

Für solche Sachen ist die Spielwiese da, also testet und findet Sicherheitslöcher! Macht es Schrott :lol:

Gruß, Paule
Ein neues CMS-System:
www.der-dirigent.de

ekke
Beiträge: 130
Registriert: Mi 18. Sep 2002, 18:26

Sicherheitsloch in front_content.php

Beitrag von ekke » Fr 20. Sep 2002, 09:35

Hallo,

wie sieht es mit front_content.php aus? Und wo immer diese Zeilen sind?
Wozu ist das @ gut?

@page_open(
array("sess" => "Contenido_Session",
"auth" => "Contenido_Challenge_Crypt_Auth",
"perm" => "Contenido_Perm"));


Gruss ekke

Björn
Beiträge: 276
Registriert: Di 17. Sep 2002, 18:25
Kontaktdaten:

Beitrag von Björn » Fr 20. Sep 2002, 17:59

@ unterdrückt Fehlermeldungen.
Mach es einfach mal weg und greif im Frontend auf die front_content_edit.inc.php zu. Dann erhälst Du eine Fehlermeldung. Mit dem @ davor hast Du nur eine nichts sagende weiße Seite.

Mit den anderen Dateien ist alles OK.

gruß björn

peter
Beiträge: 42
Registriert: Do 19. Sep 2002, 19:07
Wohnort: berlin
Kontaktdaten:

schönheits-operation

Beitrag von peter » Mo 23. Sep 2002, 19:39

wenn man schon mal an der datei front_frame/front_content_edit.inc.php dran ist, kann man gleich noch in der letzten zeile

Code: Alles auswählen

include("../contenido/inc/con_editcontent.inc.php");
autauschen gegen:

Code: Alles auswählen

include($ContenidoPath.$cfgPathInc."con_editcontent.inc.php");
das hilft bei nicht-standard-installationen.

gruß
peter s/berlin
gruß peter s/berlin

tmhoefer
Beiträge: 40
Registriert: Mi 18. Sep 2002, 19:00
Wohnort: Albershausen
Kontaktdaten:

front_content.php

Beitrag von tmhoefer » So 20. Okt 2002, 11:20

In der front_content.php sollte

@page_open(
array("sess" => "Contenido_Session",
"auth" => "Contenido_Frontend_Challenge_Crypt_Auth",
"perm" => "Contenido_Perm"));

drinstehen, sonst gibt's eine leere Seite. Wichtig ist die Zeile mit

"auth" =>

Nur in der front_content_edit.inc.php muss stehen

@page_open(
array("sess" => "Contenido_Session",
"auth" => "Contenido_Challenge_Crypt_Auth",
"perm" => "Contenido_Perm"));


Martin

Gesperrt