Poprawki GMBans 1.6 z poważnym niedopatrze...
daedhelil
26.11.2015
Owe niedopatrzenie istnieje w paczce z poprawkami umieszczonej przez użytkownika Szyfrant. Przynajmniej tyle sprawdziłem.
Chodzi o to, że użytkownik z flagą dostępu mającą pokazywać administratorów AMXX, jest w stanie działać na podstronie edycji poziomów dostępu (/admin.php?site=wm_ul). Skrypt jest zbudowany naprawdę dziwacznie. Brak flagi dostępu jest równoznaczny ze wstawieniem kilku atrybutów disabled.
https://www.youtube....h?v=MuhNNF1d2LA
Użytkownik bociek edytował ten post 26.11.2015 22:15
Kowalsky
27.11.2015
jest w stanie działać na podstronie edycji poziomów dostępu
Z tego co sprawdziłem jest w stanie działać wszędzie...
Z tego co zauważyłem dziwne jest również to, że w pliku /include/admin/admin_sm_av.php jest klauzula:
if(isset($_POST["del"])) { if ( !has_access("amxadmins_view") ) { header("Location:index.php"); } $query = mysql_query("DELETE FROM `".$config->db_prefix."_amxadmins` WHERE `id`=".$aid." LIMIT 1") or die (mysql_error()); $query = mysql_query("DELETE FROM `".$config->db_prefix."_admins_servers` WHERE `admin_id`=".$aid) or die (mysql_error()); $user_msg[]='_AMXADMINDELETED'; log_to_db("AMXXAdmin config","Deleted admin: ".mysql_real_escape_string($_POST["username"])); }
Jak widać powyżej sprawdza czy posiada dostęp "amxadmins_view" i jeżeli nie to wyświetla stronę główną. Pytanie tylko... dlaczego przy usuwaniu admina sprawdza dostęp do pokazywania adminów? Trochę chore, a powinno być amxadmins_edit. Takie błędy są również w innych plikach, i tak na przykład we wspomniany u Ciebie admin_wm_ul.php nie ma w ogóle warunku has_access();
Ahh.. co zrobić ze starym, poczciwym AMXBansem. Wieczorem będę to rozmyślę nad jakimiś rozwiązaniami.
Użytkownik Kowalsky edytował ten post 27.11.2015 09:02
KochamFootball
27.11.2015
Do tego $_GET['bid'] nie jest zabezpieczone w ban_list.php, można wpisać dowolną liczbę / znaki a to wyświetli tabelkę. Jeżeli ktoś będzie miał display_errors właczone na serwerze to globalnie wyświetli ścieżkę do plików.
Kowalsky
27.11.2015
Do tego $_GET['bid'] nie jest zabezpieczone w ban_list.php, można wpisać dowolną liczbę / znaki a to wyświetli tabelkę. Jeżeli ktoś będzie miał display_errors właczone na serwerze to globalnie wyświetli ścieżkę do plików.
W AMXBans "STABLE" + Konfiguracja DPROTO /EDIT (23.08.2012) jest to zabezpieczone.
btw. Gdy moderator zaakceptuje temat to w dziale AMXBans / Nowości pojawi się mały fix do znalezionych przez bociek błędów.
Użytkownik Kowalsky edytował ten post 27.11.2015 23:19
fejk2k4
06.07.2017
Już jest opis jak to wszystko naprawić: >> ZAPRASZAM TUTAJ <<
Link nie działa ?.