ver 4.3 Поставил версию Кооби 4.3 и через время столкнулся с багом: после выбора товаров и нажати Оформит заказ - оплатить (шаг 1 из 4х) он перезагружает странницу - и говорит: у вас ничего нет (в корзине); куки включены. В логах Апача нащёл следующие "Invalid License - Please notify your administrator of this problem" то ли у хостера проблемма с модулем статистики, то ли это с Кооби, чо то не так!! Help!!!!
Люди, помогите, поставил последнюю версию коби 5.6 в форуме, когда прочитаешь сообщение (тему) она не помечается как прочитаная, тоесть так и стоит значёк что в ней есть новые посты, плиз help To censored есть возможность достать последние Fix паки?
Со многими проблемами чуть попозже поковыряюсь. Щас нету времени. Они все "достаны". Смотри первое сообщение в этой теме (оно редактируется). Дополнено. Щас зашел к Дримам - по-моему вышел еще один фикс-пак, и какое-то обновление. Скоро попробую выложить.
censored! Торопись! Это ни какое то обновление, это писец!!! Мой кубик пал смертью храбрых!!! Надо срочно лечить, вообщем мне разнесли всё Дыра опасная, писать ничего нибуду, иначе у всех ща начнуться слёты! Пытался через людей пробить акк на дримах, попытки бесполезны
Обновил. ... Отпиши мне в ПМ. Надо будет отыскать откуда (хотя я и знаю откуда могли проникнуть - то там прав не хватит). У меня там есть. Админский.
Ты говоришь о Главной странице? Так и должно быть - на главной нет постраничного деления новостей. Если открыть ВСЕ НОВОСТИ в левой менюшке, то получишь список новостей с постраничным сепаратором внизу. Пример: http://cityn.ru/ http://cityn.ru/index.php?area=1&p=newsarchive
Итак! Как я понял тут дождаться нереал Правим баг форума, точнее отображение иконок в темах и самих тем, когда тему прочитал а иконка все равно показывает наличие новых постов. Всё описано ТУТ
Интересно откуда? акк А проникли с помощью SQL инъекции, которых немеренно по всей CMS, чесно я затрахался их править и искать, я не прогер на пхп, хоть и немного разбираюсь!
Понимаешь, я вправил, а теперь собираю кучу других маленьких бажек, да и вправил пока не везде, я могу пока описать только принцип, потому как нехочу быть козлом отпущения и выкладывать бажную версию! Вообщем дело в том что во многих переменных, при работе с БД не стоят ограничения addslashes, и злоумышленик может подпихнуть туда нужный ему код, который будет выполнен мускулом, а если везде будет стоять парамутр addslashes то будет всё ок, пример Code: $sql = $db->Query("SELECT * FROM ".PREFIX."_gallery WHERE id=".$_REQUEST[galid]); Надо заменить на: Code: $sql = $db->Query("SELECT * FROM ".PREFIX."_gallery WHERE id=".addslashes($_REQUEST[galid])); Скажу сразу что в двиге таких моментов до срача!!! и все они чем то отличаются Мне долбанули по галерее, после чего я сканил Xspider oм и он мне показал несколько SQL инъекций, но где хз, в галерее я закрыл, ещё 1на помоему на форуме, точно неуверен, а вот остальные хз
KoobiPRO я не понимаю что хоршего в этой CMS, есть еще и другие, ну в крайнем случаи можно самому написать, правдо долговато до ума доводить, ну всеже!
Вот я говорил тебе - надо вменяемый ресурс по Кообишке делать... Этот бардак так и будет продолжаться, спасибо nkeynkey за очередной багрепорт. Или уже ждем новой инкрнации?
Минус (а может и небольшо плюс) в том - что он малораспространен. Отсюда в некотором роде - дыряв. Но так везде. Как ломали так и будут ломать. Чем больше будет иметь хождение - тем нахождение дыр будет увеличиваться. Пример - Форумы (особенно phpBB). ... А про грамотную защиту от SQL-иньекций это надо у ZaCo с Zadoxlik-ом узнать. Это они в ней волшебники и знают недокументированные ходы и, соответственно, как их благополучненько прикрыть. ... Ну так просто Тотал Коммандером поискать по "SELECT"? А лучше по $_REQUEST, $_POST $_GET
Я щас сканирую себя Xspiderom полной версией, так что скоро буду знать где у меня и что, думаю залатаю и отпишу!
