logo img
Скрипт I-Soft Bizness

Бизнес в интернет. Виртуальные офисы фирм. Скрипт фирм и организаций.

» » » Устраненные ошибки и уязвимость скрипта
Внимание!
Перед покупкой обязательно установите и протестируйте демо-версию!
Информация к новости
  • Просмотров: 4 381
  • Дата: 30 ноября 2010
  • +10
30 ноября 2010

Устраненные ошибки и уязвимость скрипта

Категория: Новости / Критические обновления

Уважаемые пользователи скрипта!


Мы провели оптимизацию кода для некоторых файлов, а также исправили выявленные ошибки и уязвимости скрипта.

 

1. Выполнена оптимизация <title> под поисковые системы при просмотре следующих страниц у компании: продукции и услуги, excel прайсы, галерея изображений, видеоролики, отправить сообщение, сообщить другу, добавить комментарий, просмотр комментариев.

 

Оптимизация title

 

2.  При посещении страницы компании по прямой ссылке view.php?id=N, если используется ЧПУ, формировались неверно ссылки на другие страницы компании (новости, продукция и услуги, видеоролики и т.д.). Данная ошибка устранена.

 

3. По просьбе клиентов вынесен за пределы файла index.php поиск по первой букве. Вывод списка букв осуществляется в файле includes/alpha_view.php.

 

4. Исправлена ошибка поиска по первым цифрам. Если посетитель выбирал “0-9” то каталог ничего не отображал.

 

 

5. Устранена недостаточная фильтрация входящих данных, что позволяло при определенных условиях провести атаку XSS.

 

6. Исправлены обнаруженные и заявленные ранее небольшие ошибки в скрипте.

 

Параметр register_globals в конфигурации php должен обязательно быть off:

 

register_globals=off


Состояние указанной переменной Вы можете уточнить у службы поддержки хостингом, на котором располагается Ваш каталог.

 

Дистрибутивы версии 4.5 и демо-версии обновлены.

 

Скачать патч и обновить скрипт

Вернуться Комментариев: 22

Рекомендуем посмотреть:

Распечатать
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
<
alovs370000 Пользователь offline

28 февраля 2011 16:39

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 26.03.2010
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 20
tags.php
$title_tags="Облака тегов";
заменить нужно...
<
admin Пользователь offline

28 февраля 2011 14:19

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
alovs370000, я уже на этот вопрос отвечал и ни раз. В тех файлах, в которых изменения достаточно простые (1-2 строки) или просто взять один кусок кода и поменять на другой мы описываем. Либо в файлах в которых нужно только в ручную вносить изменения (файл конфигураций, тарифных планов, шаблоны) мы тоже стараемся описать.
В тех файлах, где изменения сложные их расписать проблематично т.к. скорее всего запутаетесь сами или мы что-нибудь упустим, тут необходимо менять старые файлы на новые. Если Вы самостоятельно вносили в данные файлы изменения, необходимо пользоваться программами сравнения кода.
Большинство разработчиков, просто выпускают патчи и рекомендуют заменить и все. Мы стараемся каким-то образом облегчить Ваш труд.


Цитата: alovs370000
А и Б не перепутаны?
Ошибка была в прошлой версии.

--------------------
Twitter
Facebook

<
alovs370000 Пользователь offline

28 февраля 2011 14:09

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 26.03.2010
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 20
Файлов в пакете минимум 28(в общей директории), а в описании 12 пунктов изменений, так сказать в 12ти файлах. Это как так может быть?
Должно быть так же, минимум 28 пунктов с изменениями.

users\modules\tarif.php
В старом
if ($def_B_enable == "YES")

В новом
if ($def_A_enable == "YES")

А и Б не перепутаны?

Достаточно ли в reg.php добавить(в нужном месте по анологии)
$login = safeHTML ( $_POST[login] );

и убрать
'$_POST[login]'
из строки
$db->query ( "INSERT INTO $db_users ...
?
Все остальные изменения, как я понял направлены лишь на визуальный каркас, а он и так у нас изменён.
<
admin Пользователь offline

18 января 2011 13:56

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
Цитата: okylesya
Подскажите, почему я не могу найти эту строчку register_globals=off в конфигурации. получается я что то не добавил при установки исправления или это надо просто дописать самому?


Это настройки сервера, а не скрипта. По этому вопросу Вам нужно обратиться в службу поддержки хостингом.

--------------------
Twitter
Facebook

<
joginvik Пользователь offline

8 декабря 2010 21:57

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 28.10.2010
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 17
несоответсвие вылезло

вы сами даете рекомендации что для работы статических страничек надо register_globals - On

теперь вот пишете - register_globals=off

при этом невозможно из админки к статическим страничкам добраться
<
AlexGM Пользователь offline

3 декабря 2010 16:09

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 25.07.2010
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 31
Внимание ! ОЧЕПАТКИ ! :
файл mail2.php - $texty = "Вам отправленно сообщение с каталога организаций. [u]Пожайлуста[/u], посетите страницу нашего каталога по ссылке $def_mainlocation/view.php?id=$id&cat=$c
at&subcat=$subcat&subsubcat=$subsubcat&p
age=$kPage для ознакомления более подробной информации!\n\n";
- пожалуйста ; для ознакомления и получения более подробной информации -так верно!
ищем далее.....

Для сравнения кода, если кому нужно , хорошая программка - http://winmerge.org/
на русском, прекрасно работает.
<
admin Пользователь offline

3 декабря 2010 09:05

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
Цитата: sh_evg
Что за ошибки, обязательное ли условие?Хватит ли того что в .htaccess прописать php_flag register_globals off? Как проверить сайт на уязвимость?


Мы не можем взять и показать ошибки и показать, как проверить сайт на уязвимость. Если Вы обновили каталог, то выявленные ошибки и уязвимости должны быть исправлены. Согласитесь, если я обнародую, как проверить, то этим могут воспользоваться недоброжелатели и воспользоваться на каталогах, которые еще не успели обновиться.

В любом случае register_globals off лучше перевести в настройках рнр. Ведь любой флаг, можно обойти, а уж в настройки добраться куда тяжелее.

--------------------
Twitter
Facebook

<
sh_evg Пользователь offline

2 декабря 2010 21:20

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 25.12.2008
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 5
6. Исправлены обнаруженные и заявленные ранее небольшие ошибки в скрипте.
Параметр register_globals в конфигурации php должен обязательно быть off:

Что за ошибки, обязательное ли условие?
Хватит ли того что в .htaccess прописать php_flag register_globals off ?
Как проверить сайт на уязвимость?

--------------------
www.gledengrad.ru/firm

<
admin Пользователь offline

1 декабря 2010 11:35

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
Цитата: ilooks
было бы хорошо все же не отдельные фаилы расписывать что в них изменено, а все изменения во всех фаилах, клиентам все же не очень удобно либо самим искать что изменилось либо снова исправлять то что уже исправляли в обновленных фаилах.


Уважаемые пользователи!
Мы и так стараемся максимально облегчить Ваш труд. И понимаем, что скрипт может быть изменен в некоторых моментах. Но идеальный вариант, это не изменять управляющий скрипт, т.к. этим изменением Вы можете нарушить сами безопасность скрипта и мы потом гарантировать ничего не можем! Поэтому, на практике, разработчики софта, вообще предлагают заменить файлы и ВСЕ! И их не волнует, вносили Вы изменения или нет, ставили свои моды. А большинство вообще кодируют код и все.

Мы все-же внесли пометки, где можно ручками поправить. Где не внесли, значит изменили ни одну строчку, а в нескольких местах код. И это сложно отразить.

Как ни печально, но ошибки при написании софта, пусть для вэба, пусть для других задач, были и будут, главное их вовремя заметить.

--------------------
Twitter
Facebook

<
kandaurow Пользователь offline

1 декабря 2010 11:28

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 14.05.2009
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 14
admin,
спасибо. это в config.php было? буду впредь внимательнее

--------------------
ЦОП Яндекса
Заработок на ссылках Trustlink

<
admin Пользователь offline

1 декабря 2010 11:27

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
kandaurow, у Вас параметр все-таки находился в положении NO, а не YES.

// Показывать быстрый поиск на главной странице
$def_allow_index = "YES"; // YES or NO (upper case, please)


Включил, теперь показывает.

--------------------
Twitter
Facebook

<
ilooks Пользователь offline

1 декабря 2010 11:20

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 4.12.2009
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 6
было бы хорошо все же не отдельные фаилы расписывать что в них изменено, а все изменения во всех фаилах, клиентам все же не очень удобно либо самим искать что изменилось либо снова исправлять то что уже исправляли в обновленных фаилах.
<
admin Пользователь offline

1 декабря 2010 11:12

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
Цитата: kandaurow
и файл есть и строчка прописана.


Скиньте доступ по фтп, я гляну, что может быть, почему нет поиска?

--------------------
Twitter
Facebook

<
kandaurow Пользователь offline

1 декабря 2010 11:10

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 14.05.2009
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 14
admin,
и файл есть и строчка прописана.

--------------------
ЦОП Яндекса
Заработок на ссылках Trustlink

<
admin Пользователь offline

1 декабря 2010 11:04

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
А в index.php строка есть у Вас?

if ($def_allow_index == "YES") include ("./searchform.inc.php");


И собственно есть ли на сервере файл searchform.inc.php?




--------------------
Twitter
Facebook

<
kandaurow Пользователь offline

1 декабря 2010 10:52

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 14.05.2009
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 14
admin, включен.

--------------------
ЦОП Яндекса
Заработок на ссылках Trustlink

<
admin Пользователь offline

1 декабря 2010 10:43

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
kandaurow, у Вас параметр в файле конфигураций включен?

// Показывать быстрый поиск на главной странице
$def_allow_index = "YES"; // YES or NO (upper case, please)

--------------------
Twitter
Facebook

<
kandaurow Пользователь offline

1 декабря 2010 10:39

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 14.05.2009
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 14
admin,
а поиск одной строкой как теперь вызвать?

--------------------
ЦОП Яндекса
Заработок на ссылках Trustlink

<
admin Пользователь offline

1 декабря 2010 07:42

Администраторы

  • Нравится
  • 0
Информация к комментарию
  • Группа: Администраторы
  • Регистрация: 7.11.2007
  • Статус: Пользователь offline
  • Публикаций: 256
  • Комментариев: 596
Цитата: vitalya
Ваш совет - стоит ли устанавливать ЧПУ на новом каталоге??


Это решать Вам. Пока часть некоторых модулей под ЧПУ не работает.

Цитата: joginvik
в инструкции есть такое - но в файле нет


В каком файле нет? В старом index.php этот код присутствовать обязан. Если Вы сами не удалили или не модернизировали данный код. В обновленном дистрибутиве его конечно нет.

Цитата: joginvik
то строка букв все равно остаетсяадмин - надо переписать эту часть + модуль поиска одной строкойя пока это не менял - то есть index.php не правил


Не совсем понял Вашу проблему. Если Вы включили поиск одной строкой в шаблон, то из index.php его нужно убрать согласно инструкции. Строка букв будет присутствовать, если её не убрать с index.php. Хотелось бы скриншот посмотреть проблемы, а то я не до конца понимаю.

--------------------
Twitter
Facebook

<
joginvik Пользователь offline

1 декабря 2010 00:17

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 28.10.2010
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 17
у кого установлена строка поиска одной строкой будет два бара поиска - сам столкнулся

если убрать в файле шаблона строчку <? if ($def_search_form_view_all!="NO&quo
t;) include ("./searchform.inc.php"); ?>

то строка букв все равно остается

админ - надо переписать эту часть + модуль поиска одной строкой

я пока это не менял - то есть index.php не правил
<
joginvik Пользователь offline

30 ноября 2010 23:57

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 28.10.2010
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 17
Заменяем код
 Показать / Скрыть текст


в инструкции есть такое - но в файле нет
<
vitalya Пользователь offline

30 ноября 2010 22:27

Клиенты

  • Нравится
  • 0
Информация к комментарию
  • Группа: Клиенты
  • Регистрация: 4.11.2009
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 10
При посещении страницы компании по прямой ссылке view.php?id=N, если используется ЧПУ, формировались неверно ссылки на другие страницы компании (новости, продукция и услуги, видеоролики и т.д.). Данная ошибка устранена.

Я в старом каталоге не использовал ЧПУ. В новом думаю использовать..
Не будет ли в дальнейшем каких либо проблем с ЧПУ ?
Ваш совет - стоит ли устанавливать ЧПУ на новом каталоге??
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.