 |
|
Памылка ў модулі NS-Polls PostNuke CMS // 2004-02-05
Выяўленая памылка ў модулі NS-Polls, якая дазваляе незарэгістраванаму
карыстальніку прагаласаваць у апытаньні на сайце неабмежаваную колькасьць
разоў.
Апісаньне
У модулі NS-Polls, які прызначаны для ажыцьцяўленьня сыстэмы апытаньня
ў пакеце PostNuke існуе абмежаваньне на колькасьць галасоў:
браць удзел у апытаньні на сайце могуць толькі зарэгістраваныя
карыстальнікі і кожны зарэгістраваны карыстальнік можа галасаваць
не часьцей, як адзін раз на дзень. Пры атрыманьні дадзеных модуль
правярае, ці галасаваў сёньня ўжо карыстальнік, які адправіў запыт.
У выпадку, калі дадзены карыстальнік ужо прагаласаваў, зыпыт
ігнаруецца. Але праверка на тое, ці зарэгістраваны карыстальнік
увогуле, адсутнічае. Таму любы карэктны запыт, адпраўлены любым
карыстальнікам, будзе залічаны.
Уразьлівыя вэрсіі
NS-Polls вэрсіі 1.1 (апошняя на момант напісаньня)
Post-Nuke вэрсіі 0.726-1 (апошняя на момант напісаньня)
Эксплойтынг
Дастаткова сфармаваць POST-запыт, які ўтрымлівае неабходныя для
карэктнай апрацоўкі дадзеныя, а таксама ідэнтыфікатар патрэбнага
апытаньня і варыянт адказу, і адправіць яго на адрас сцэнара
NS-Polls.
Мэтады выпраўленьня памылкі
Неабходна перад запісам вынікаў у базу дадзеных (ці раней) дадаць
праверку на зарэгістраванасьць карыстальніка, які адправіў
запыт.
Дысклаймэр
Гэтая інфармацыя прызначаецца ў першую чаргу аўтарам PostNuke і
NS-Polls для таго, каб яны выправілі вышэйзгаданую памылку.
Аўтар гэтага артыкула не нясе адказнасьці за магчымую шкоду,
выкліканую выкарыстаньнем ці няправільным выкарыстаньнем дадзенай
інфармацыі.
|
|
|
|
|
|
|
