FreeBSD4.9
FreeNIBS 0.9.3b
WEB- "от Андрея"
Обнаружил достаточно серьезную дыру в Веб-морде.!!!
Пользуюсь интерфейсом от Андрея(кажется самый действенный интерфейс).
Обнаружилась такая дыра:
Когда пользователь заходжит на страницу статистики и вводит свой логин и пароль в всплывающем меню, он попадает в свою статистику(это все хорошо и ГУУД). НО когда пользователь оставляет эту форму пустой, не вводя ни пароля ни пользователя, то он попадает в страницу где пожет просматривать общую статистику всех пакетов, пользователей, пользователя и задолжников. ЭТО ОЧЕНЬ ПЛОХО! Пользователи не должны пересекаться а тм более видеть кто сколько скачивает с какого АйПи и МАКа. Как это поправить? Может надо как-то заменить, что-то в коде, что бы при вводе пустого логина и пасса, оно слало какую-то билиберду и соответственно говорило что "неавторизировано"? Кто как поборол проблему?
Апач 1.39
ПХП 4
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(??) on 28-Фев-06, 11:21 
