←  Bugi

AMXX.pl: Support AMX Mod X i SourceMod

»

GmAMXBans
Poprawki GMBans 1.6 z poważnym niedopatrze...

  • +
  • -
daedhelil - zdjęcie daedhelil 26.11.2015

Owe niedopatrzenie istnieje w paczce z poprawkami umieszczonej przez użytkownika Szyfrant. Przynajmniej tyle sprawdziłem.
 
Chodzi o to, że użytkownik z flagą dostępu mającą pokazywać administratorów AMXX, jest w stanie działać na podstronie edycji poziomów dostępu (/admin.php?site=wm_ul). Skrypt jest zbudowany naprawdę dziwacznie. Brak flagi dostępu jest równoznaczny ze wstawieniem kilku atrybutów disabled.
 
https://www.youtube....h?v=MuhNNF1d2LA


Użytkownik bociek edytował ten post 26.11.2015 22:15
Odpowiedz

  • +
  • -
Kowalsky - zdjęcie Kowalsky 27.11.2015

jest w stanie działać na podstronie edycji poziomów dostępu

 

Z tego co sprawdziłem jest w stanie działać wszędzie... :(

 

Z tego co zauważyłem dziwne jest również to, że w pliku /include/admin/admin_sm_av.php jest klauzula:

if(isset($_POST["del"])) {
	if ( !has_access("amxadmins_view") ) {
		header("Location:index.php");
	}

	$query = mysql_query("DELETE FROM `".$config->db_prefix."_amxadmins` WHERE `id`=".$aid." LIMIT 1") or die (mysql_error());
	$query = mysql_query("DELETE FROM `".$config->db_prefix."_admins_servers` WHERE `admin_id`=".$aid) or die (mysql_error());
	$user_msg[]='_AMXADMINDELETED';
	log_to_db("AMXXAdmin config","Deleted admin: ".mysql_real_escape_string($_POST["username"]));
}

Jak widać powyżej sprawdza czy posiada dostęp "amxadmins_view" i jeżeli nie to wyświetla stronę główną. Pytanie tylko... dlaczego przy usuwaniu admina sprawdza dostęp do pokazywania adminów? Trochę chore, a powinno być amxadmins_edit. Takie błędy są również w innych plikach, i tak na przykład we wspomniany u Ciebie admin_wm_ul.php nie ma w ogóle warunku has_access();

 

Ahh.. co zrobić ze starym, poczciwym AMXBansem. Wieczorem będę to rozmyślę nad jakimiś rozwiązaniami.


Użytkownik Kowalsky edytował ten post 27.11.2015 09:02
Odpowiedz

  • +
  • -
KochamFootball - zdjęcie KochamFootball 27.11.2015

Do tego $_GET['bid'] nie jest zabezpieczone w ban_list.php, można wpisać dowolną liczbę / znaki a to wyświetli tabelkę. Jeżeli ktoś będzie miał display_errors właczone na serwerze to globalnie wyświetli ścieżkę do plików.

Odpowiedz

  • +
  • -
Kowalsky - zdjęcie Kowalsky 27.11.2015

Do tego $_GET['bid'] nie jest zabezpieczone w ban_list.php, można wpisać dowolną liczbę / znaki a to wyświetli tabelkę. Jeżeli ktoś będzie miał display_errors właczone na serwerze to globalnie wyświetli ścieżkę do plików.

 
W AMXBans "STABLE" + Konfiguracja DPROTO /EDIT (23.08.2012) jest to zabezpieczone.

 

btw. Gdy moderator zaakceptuje temat to w dziale AMXBans / Nowości pojawi się mały fix do znalezionych przez bociek błędów.


Użytkownik Kowalsky edytował ten post 27.11.2015 23:19
Odpowiedz

  • +
  • -
Kowalsky - zdjęcie Kowalsky 03.12.2015

Już jest opis jak to wszystko naprawić: >> ZAPRASZAM TUTAJ <<

Odpowiedz

  • +
  • -
fejk2k4 - zdjęcie fejk2k4 06.07.2017

Już jest opis jak to wszystko naprawić: >> ZAPRASZAM TUTAJ <<


Link nie działa ?.
Odpowiedz