CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

Securityfix 01

https://forum.contenido.org/viewtopic.php?f=112&t=65

Seite 1 von 1

Securityfix 01

Verfasst: Do 19. Sep 2002, 22:30
von Björn
SECURITYFIX 01

Unter bestimmten Umständen kann ein normaler User auf Teile des Backends zugreifen und Content verändern. Um dies zu verhindern muß folgender Code geändert werden:

Code: Alles auswählen

----------------------------
DATEIEN ÖFFNEN
----------------------------

front_frame/front_content_edit.inc.php
front_frame/front_content_edit.inc.php

-----------------------------
SUCHEN:
-----------------------------

page_open(
    array("sess" => "Contenido_Frontend_Session",
          "auth" => "Contenido_Frontend_Challenge_Crypt_Auth",
          "perm" => "Contenido_Perm"));

-----------------------------
ERSETZEN MIT:
-----------------------------

@page_open(   
  array("sess" => "Contenido_Session",
          "auth" => "Contenido_Challenge_Crypt_Auth",
          "perm" => "Contenido_Perm"));

-----------------------------

Sicherheitsloch

Verfasst: Do 19. Sep 2002, 22:47
von Eppi
Wirklich sehr unangenehm!

Für solche Sachen ist die Spielwiese da, also testet und findet Sicherheitslöcher! Macht es Schrott :lol:

Gruß, Paule

Sicherheitsloch in front_content.php

Verfasst: Fr 20. Sep 2002, 09:35
von ekke
Hallo,

wie sieht es mit front_content.php aus? Und wo immer diese Zeilen sind?
Wozu ist das @ gut?

@page_open(
array("sess" => "Contenido_Session",
"auth" => "Contenido_Challenge_Crypt_Auth",
"perm" => "Contenido_Perm"));


Gruss ekke

Verfasst: Fr 20. Sep 2002, 17:59
von Björn
@ unterdrückt Fehlermeldungen.
Mach es einfach mal weg und greif im Frontend auf die front_content_edit.inc.php zu. Dann erhälst Du eine Fehlermeldung. Mit dem @ davor hast Du nur eine nichts sagende weiße Seite.

Mit den anderen Dateien ist alles OK.

gruß björn

schönheits-operation

Verfasst: Mo 23. Sep 2002, 19:39
von peter
wenn man schon mal an der datei front_frame/front_content_edit.inc.php dran ist, kann man gleich noch in der letzten zeile

Code: Alles auswählen

include("../contenido/inc/con_editcontent.inc.php");
autauschen gegen:

Code: Alles auswählen

include($ContenidoPath.$cfgPathInc."con_editcontent.inc.php");
das hilft bei nicht-standard-installationen.

gruß
peter s/berlin

front_content.php

Verfasst: So 20. Okt 2002, 11:20
von tmhoefer
In der front_content.php sollte

@page_open(
array("sess" => "Contenido_Session",
"auth" => "Contenido_Frontend_Challenge_Crypt_Auth",
"perm" => "Contenido_Perm"));

drinstehen, sonst gibt's eine leere Seite. Wichtig ist die Zeile mit

"auth" =>

Nur in der front_content_edit.inc.php muss stehen

@page_open(
array("sess" => "Contenido_Session",
"auth" => "Contenido_Challenge_Crypt_Auth",
"perm" => "Contenido_Perm"));


Martin
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/