16 odpowiedzi w tym temacie

[mgr inż. Pavulon]

W związku ze zgłoszeniem problemu: Nieautoryzowany dostep do Amxbans Gm 1.4 postanowiłem jak najszybciej wydać poprawkę.

Zawartość archiwum:  amxbans.zip   35,8 KB  497 Ilość pobrań
należy wypakować do głównego folderu instalacji AMXBans i zastąpić istniejące katalogi/pliki.

Brak tej łatki pozwala właściwie na dowolne akcje na banach/komentarzach/demach jak i założenie konta admina z pełnym dostępem.


p.s.
mam nadzieje, że mimo późnej godziny nic nie pominąłem.

[uwaga='Pavulon']15:20 14-11-2010r. Nowa wersja łatki. Uwzględnia poszczególne poziomy dostępu adminów i inne drobne poprawki [/uwaga]

[ProMil]

Super, że wstawiłeś.

Jednak ja już tę łatkę miałem stąd: Google Tłumacz

[uwaga=Pavulon]ta łatka jest całkiem inna[/uwaga]

[Portek]

Aż mi się śmiać zachciało, dostęp do edycji czy usunięcia bana to początek góry lodowej, co można zrobić bez dostępu do admina? ba bez wiedzy jaki login ma admin? Wszystko! (log poniżej), nie ma mowy o jakimkolwiek zabezpieczeniu, sprawdzeniu czy ktoś kto wykonuje edycje ma jakiekolwiek prawa, a żeby było zabawniej, na pytanie Pavulona "ciekawe czy admina da sie dodac bylo by wygodniej haczyc " postanowiłem to sprawdzić, co się okazuje? A jak, hulaj dusza piekła nie ma, wystarczy prosty formularz, wtyczka do przeglądarki która sprawdzi jakie dane są przesyłane - tudzież nawet edycja plików i pobranie gotowego formularza

Ogólnie rzecz biorąc cyrk na kółkach ;D - http://portek.net.pl/img/hax.jpg

Poniżej łata, z teoretycznie usunięciem wszystkiego co jest nie tak - to co sugeruje załatać gm-community to 1/4 tego co jest do poprawki ;]

 łata.rar   5,15 KB  167 Ilość pobrań

[mgr inż. Pavulon]

Niestety i to nie będzie doskonałe, bo jakikolwiek użytkownik (np. admin z najniższym lvl) zapewne będzie mógł robić co będzie chciał.
Ogólnie całe AMXBans 6.x i GM wymaga kapitalnego remontu

[Portek]

Niestety i to nie będzie doskonałe, bo jakikolwiek użytkownik (np. admin z najniższym lvl) zapewne będzie mógł robić co będzie chciał.
Ogólnie całe AMXBans 6.x i GM wymaga kapitalnego remontu

A widzisz, tam nie zaglądałem, aczkolwiek na pierwszy rzut oka widać że lvl a amxbans 6.x to bujda ;D

W żadnym z pliku admin_* nie ma sprawdzania lvl - który defacto powinien ograniczać prawa, za to w każdym jest:

	if(!$_SESSION["loggedin"]) {
		header("Location:index.php");
	}

Szkoda tylko że sprawdzają to tylko tam

[mgr inż. Pavulon]

Robię ogólną poprawkę zabezpieczeń. Postaram się dać wszędzie gdzie trzeba sprawdzanie odpowiedniego dostępu.

[ProMil]

Czekamy

[mgr inż. Pavulon]

Nowa wersja łatki w pierwszym poście
Teraz już zwykły(niskolevelowy) admin nie stanie się H@
A poza tym doszły inne drobne poprawki.

[Dj ^^ d(-.-)b]

dzięki Bogu


// edit

działało chwilowo ;d a później błędy

Warning: require_once(/home/naszskil/public_html/bany/include/smarty/Smarty.class.php) [function.require-once]: failed to open stream: Нет такого файла или каталога in /home/naszskil/public_html/amxbans/include/config.inc.php on line 95

Fatal error: require_once() [function.require]: Failed opening required '/home/naszskil/public_html/bany/include/smarty/Smarty.class.php' (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/naszskil/public_html/amxbans/include/config.inc.php on line 95

Użytkownik Dj ^^ d(-.-)b edytował ten post 15.11.2010 17:12

[mgr inż. Pavulon]

działało chwilowo ;d a później błędy

Warning: require_once(/home/naszskil/public_html/bany/include/smarty/Smarty.class.php) [function.require-once]: failed to open stream: Нет такого файла или каталога in /home/naszskil/public_html/amxbans/include/config.inc.php on line 95

Fatal error: require_once() [function.require]: Failed opening required '/home/naszskil/public_html/bany/include/smarty/Smarty.class.php' (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/naszskil/public_html/amxbans/include/config.inc.php on line 95

Błąd niemający nic wspólnego z łatką. Idź do działu "Problemy", bo tak wielokrotnie się przewijał.

[Dj ^^ d(-.-)b]

już nie potrzeba naprawiłem ;] ale dzięki jeszcze raz za łatke.

[sebul]

U mnie nie ma tych błędów... ^ ^

[Turtle]

dodam że spotkałem się z problemem nieautoryzowanego dostępu gdy na jednej domenie/ip/hoscie stoją 2 amxbans dla różnych serwerów, gdy nie wylogujemy się z serwera A a wejdziemy na stronę serwera B dostajemy uprawnienia z użytkownikiem, którego nie ma w bazie B.

[Knopers]

To już jest problem sesji w php, w twoim przypadku przydała by się oddzielna nazwa sesji dla "bans'a" A i B.

[GwynBleidD]

Aby naprawić problem przy wspóldzieleniu hostingu proponuję w include/access.inc.php przed session_start dodać: seesion_save_path i zdefiniować tam ścieżkę niedostępną z zewnątrz (zabezpieczone odpowiednim .htaccessem lub katalog wyżej public_html).

[T.I.G.E.R]

Witam. Przepraszam że odkopuję ale czy ta łatka "Pavulona" w pierwszym poście działa na GM Amxbans 1.6 by Edvision?
Edvisiona wersję mam gdyż ona chodzi bezproblemowo. Niby wspomniane jest że jest ta wersja poprawiona.

[Misiaczek ;c]

Witam. Przepraszam że odkopuję ale czy ta łatka "Pavulona" w pierwszym poście działa na GM Amxbans 1.6 by Edvision?
Edvisiona wersję mam gdyż ona chodzi bezproblemowo. Niby wspomniane jest że jest ta wersja poprawiona.

podrzuć na pw linka do tej wersji to sie obada, ale chyba ma