Уязвимость Photo Album Addon

Kgb · Сообщение **Kgb** » 03.05.2005 15:14

Ребята! Подскажите, я просто в шоке! У меня стоит Photo Album Smartor, но добавление пользователем фото я отключил, в целях безопасности. У меня установлено, добавлять фото только админ. Народ присылает фото мне на мыло, а я размещаю их в категориях под их именами регистрируя их на свой е-маил. Потом пользователя удаляю из форума, и в категории фотоальбома остается только имя. Если пользователь, автор фотографии, захочет, он может написать только комментарий, или, зарегистрировавшись на форуме обсудить, но не более. И вот, один перец прислал мне фотографии, я залил их в соответствующую категорию фотоальбома, под его именем, далее удалил пользователя. Осталось только его имя. Всё вроде нормально. Но сегодня с утра он зарегистрировался на форуме и поменял имя в фотоальбоме. Получается, что есть уязвимость? Он ничего плохого не сделал. Но ведь это может сделать любой? Как защитить? Я как админ не могу поменять имя пользователя, а он смог! Что делать? Я в шоке!

Сообщение **Siava** » 03.05.2005 16:20

Kgb
Товарищ, вы извращенец

Зачем так делать?

Зачем кого-то регистрировать и удалять?

Естественно можно зарегаться под удалённым ником и отредактировать информацию о фото, если в правах доступа к этой категории в фотогаллерее установлены права на редактирование для зарегистрированных пользователей

Надеюсь намёк понятен?

Измените это право на админа и все остальные тоже (кроме просмотра, комментирования и рейтинга) и живите спокойно.

OFF:
но вы всё-таки изврат

Kgb · Сообщение **Kgb** » 03.05.2005 16:31

Siava писал(а):Kgb
Товарищ, вы извращенец
Зачем так делать?
Зачем кого-то регистрировать и удалять?

Чем же я извращенец?

Естественно можно зарегаться под удалённым ником и отредактировать информацию о фото, если в правах доступа к этой категории в фотогаллерее установлены права на редактирование для зарегистрированных пользователей

так я так и делаю!

Измените это право на админа и все остальные тоже (кроме просмотра, комментирования и рейтинга) и живите спокойно.

Так у меня так и стоит!

VVVas · Сообщение **VVVas** » 03.05.2005 17:32

Kgb

Kgb писал(а):так я так и делаю!

Kgb писал(а):Так у меня так и стоит!

Внимательно вчитайтесь, а потом не говорите что эти утверждения друг другу не противоречат.

И вообще как минимум внимательно прочтите то что вам написали.

Kgb · Сообщение **Kgb** » 03.05.2005 21:35

VVVas

VVVas писал(а):вообще как минимум внимательно прочтите то что вам написали.

Может я не понятно написал? У меня стоит Photo Album с правами добавления фото только админом! Когда мне надо разместить в альбоме фото другого автора(я же не могу размещать под своим именем т.к. я не автор, я админ). Я регистрируюсь под именем автора, так как в альбоме стоит именно ссылка на автора. После размещения я возвращая права на добавления фото, только админу, естественно кроме просмотра и комментариев(комментарии делает автор если посчитает нужным, что часто бывает не всегда). Далее я удаляю пользователя, чтобы не было ссылки на автора, а было только имя, без ссылки. А если стоит ссылка на автора, он, автор думает, что я зарегистрировал его на форуме, и ломится на форум спрашивая у меня пароль. Я также как всегда сделал, но сегодня зарегистрировался на форуме автор и поменял себе имя под которым у него висят фотографии(а может это и не он), в Photo Albumе. Вопрос как он мог это сделать, когда в Альбоме стоят права на создание категорий только у админа? И добавление фотографий тоже у админа. Он может только посмотреть, оценить и оставить коментарий - всё.

Егор Наклоняев · 03.05.2005 22:14

Kgb
Позвольте понтересоваться, а сам форум у Вас какой версии?

Kgb · Сообщение **Kgb** » 03.05.2005 22:22

Егор Наклоняев Форум - 2.0.14 Альбом - 2.0.53
Да совсем забыл. Он заменил имя Николай на Nikolay

Сообщение **Siava** » 03.05.2005 23:34

Kgb
Так он сменил свой ник? Запретите смену ников пользователям.

Можете сделать 2 скрина страниц с правами доступа для этой категории? (первый при нажатии на "изменить" в управлении категориями, второй в правах доступа к категориям).

Честно говоря я перестал понимать что тут происходит

Kgb · Сообщение **Kgb** » 04.05.2005 0:08

SiavaУ меня везде стоит запрет на смену имени пользователем.

Добавлено спустя 29 минут 56 секунд:

Я регистрировался под обыкновенного пользователя, под разными именами, но сменить никому имя я не могу. Что делать?

Сообщение **Siava** » 04.05.2005 14:23

Kgb

Siava писал(а):Можете сделать 2 скрина страниц с правами доступа для этой категории? (первый при нажатии на "изменить" в управлении категориями, второй в правах доступа к категориям).

Kgb · Сообщение **Kgb** » 04.05.2005 14:31

Siava писал(а):Можете сделать 2 скрина страниц с правами доступа для этой категории? (первый при нажатии на "изменить" в управлении категориями, второй в правах доступа к категориям).

Это не помогло.
Да я посмотрел в БД Альбома имя осталось прежним, а вот в категории поменяно.

Сообщение **Siava** » 04.05.2005 17:00

Kgb

ну тут я пас..

Может у кого ещё есть идеи?

Kgb · Сообщение **Kgb** » 04.05.2005 18:50

Так получается мне никто не подскажит?

Егор Наклоняев · 04.05.2005 23:11

Kgb писал(а):Так получается мне никто не подскажит?

Отчего же? Я, кажется, догадываюсь в чём дело. С вероятностью 99% процентов. Никакой особой уязвимости, маленький глючок в admin_users.php.

А теперь внимание, вопрос:
Какое ID нового пользователя и что у Вас записано в строке phpbb_album там где pic_username равно "старое имя" в графе pic_user_id?
Совпадает?

Kgb · Сообщение **Kgb** » 05.05.2005 13:02

Егор Наклоняев писал(а):Какое ID нового пользователя и что у Вас записано в строке phpbb_album

В БД? Нет не совпадает

в строке phpbb_album там где pic_username

Стоит старое имя.

в графе pic_user_id

Стоит ID которое относится к новому имени.