24.10.2007 - 10:27 - Lukasz

Admin login. Pewna luka.

Gdy sesskglogadmin.php jest usuniÄ™ty z modułów, a ksiÄ™ge wywoÅ‚a siÄ™ poleceniem: adresstronypl/kgcall.php?engine=kgadminlogin.php

To można się zalogować, owszem nie ma menu do konfiguracji, ale posty można usuwać, itp.

24.10.2007 - 15:42 - admin

Dwie sprawy.

Posty można usuwać podajÄ…c hasÅ‚o w url (jednorazowe operacje) dla zachowania zgodnoÅ›ci z KGB 1.763 jeszcze (jak ktoÅ› lubi tak administrować).

Druga sprawa - po usuniÄ™ciu moduÅ‚u sesskglogadmin (sprawdziÅ‚em na dwóch różnych skórkach) i próbie zalogowania siÄ™ Pana sposobem (sprawdziÅ‚em jeszcze kilka ewentualnoÅ›ci) nie wyÅ›wietliÅ‚y mi siÄ™ żadne linki do kasowania postów.

Czy na pewno usunÄ…Å‚ Pan moduÅ‚ z katalogu czy też jedynie zmieniÅ‚ Pan jego nazwÄ™?

Natomisat co do samej sytuacji - jeżeli kasowanie umożliwia siÄ™ PO wprowadzeniu hasÅ‚a to nie jest to luka. UsuniÄ™cie sesskglogadmin nie zwiÄ™ksza ani nie zmniejsza bezpieczeÅ„stwa a jedynie uÅ‚atwia adminowi administrowanie ksiÄ™gÄ….

24.10.2007 - 21:23 - Lukasz

Dzięki za odpowiedź
A faktycznie, nie kasowałem, tylko zmieniłem nazwę na sesskglogadmin.bac

Gdy wtedy siÄ™ zalogujÄ™, to można usuwać, zmieniać, komentarze, ale tego menu u doÅ‚u z opcjami administracyjnymi nie ma.

pozdrawiam.

e-mail        WWW

24.10.2007 - 22:24 - admin

Czyli moduÅ‚ dziaÅ‚aÅ‚ w poÅ‚owie. :) Po skasowaniu dziaÅ‚ać nie bÄ™dzie.

24.10.2007 - 22:36 - Lukasz

Zgadza siÄ™, gdy skasowaÅ‚em to już nie dziaÅ‚a w ogóle.

A mam jeszcze taka malutkÄ… sugestie odnoÅ›nie tokenu, że jeÅ›li przypadkiem źle siÄ™ wpisze nr z tokenu, to żeby to co siÄ™ napisaÅ‚o nie przepadaÅ‚o, żeby miaÅ‚o siÄ™ kolejnÄ… szansÄ™ na wpisanie innego nr z tokenu.

Serdecznie pozdrawiam.
KsiÄ™ga KGB to kawaÅ‚ dobrej roboty a na stronie którÄ… siÄ™ zajmujÄ™ znalazÅ‚em do niej inne ciekawe zastosowanie.

WWW

25.10.2007 - 6:08 - admin

Jak się cofniesz przeglądarką to masz szansę poprawić swój wpis.

A w ogóle dziÄ™ki za miÅ‚e sÅ‚owa.