4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
Откуда: Москва Всего сообщений: 2994 Рейтинг пользователя: 79 Дата регистрации на форуме: 29 сен. 2001
|
Профиль | Сообщить модератору | ИгнорироватьNEW! Сообщение отправлено: 3 августа 2005 14:59
1) Search.cgi в моей версии не используется начиная с Release 3, поэтому его можно просто удалить. Вместо него используется search2.cgi, который имеет несколько другой формат (хотя и не исключаю, что там может быть аналогичная уязвимость). Еще советую в каталог search положить файл .htaccess со строкой Deny from all. Это запретит выполнение файлов как скриптов в данном каталоге (работает только на Apache).
2) Тут надо поставить проверку на параметр $uin (и $aolname) в этом самом misc.cgi и проверять его на наличие нежелательных символов (удалять все не-цифры для ICQ и неалфавитно-цифровые символы для aol).
3) в моей версии это исправлено в Release 4
Есть еще более радикальный вариант: перейти на мою новую разарботку - Intellect Board.
--- Каждый человек всегда может найти, чем он может быть полезен окружающим. Проблема только в одном: слишком многие не хотят это искать.
|