Инфо XSS/SEO-уязвимость в модуле Vkontakte 1.1

Тема в разделе "DLE", создана пользователем Demon425, 29 окт 2010.

Информация :
Актуальная версия DataLife Engine 11.1
( Final Release v.11.1 | Скачать DataLife Engine | Скачать 11.1 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 10.0 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. Demon425

    Demon425

    Регистр.:
    9 июл 2008
    Сообщения:
    439
    Симпатии:
    96
    Для исправления, откройте свой redirect.php и после
    PHP:
    function reset_url($url) {
        
    $value str_replace "http://"""$url );
        
    $value str_replace "www."""$value );
        
    $value explode "/"$value );
        
    $value reset $value );
        return 
    $value;
    }

    $_SERVER['HTTP_REFERER'] = reset_url $_SERVER['HTTP_REFERER'] );
    $_SERVER['HTTP_HOST'] = reset_url $_SERVER['HTTP_HOST'] );
            
            
    if (
    $_SERVER['HTTP_HOST'] != $_SERVER['HTTP_REFERER']) {
    @
    header 'Location: /index.php' );
    die ( 
    "Ошибся?!!!<br /><br />Топай на <a href=\"/index.php\">{$_SERVER['HTTP_HOST']}</a>" );
    }
    Готово! К счастью, поисковые боты не умеют подменять HTTP_REFERER, поэтому их перекинет на главную, что всё же лучше. Пускай оптимизаторы работают на вас!

    Автор: AVET
     
  2. killoff

    killoff CD тихо, и не DVD меня ;)

    Moderator
    Регистр.:
    13 май 2008
    Сообщения:
    2.014
    Симпатии:
    679
    А если просто запретить в robots.txt индексировать ссылки /go.php* и полностью каталог /engine* и все остальное что не нужно индексировать? Тогда же не будет загружаться поисковиком в базу страницы подобного типа. Правильно? :ah:
     
  3. Xack-Root

    Xack-Root

    Регистр.:
    16 фев 2007
    Сообщения:
    295
    Симпатии:
    67
    Не, тогда бот просто получается не будет их индексировать, а так в случае перекидывания его на главную, бот получается будет закольцован и снова пойдет индексировать ваш сайт не уходя на другой.
     
  4. Demon425

    Demon425

    Регистр.:
    9 июл 2008
    Сообщения:
    439
    Симпатии:
    96
    killoff, отличается тем, что если проспамили интернет, используя твой редирект, то последующей переиндексации, все ссылки станут твоими :)
     
Статус темы:
Закрыта.