Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85 - Trang 6
Follow us on
Follow us on Facebook Follow us on Twitter Linked In Flickr Watch us on YouTube My Space Blogger
 
Trang 6 của 6 Đầu tiênĐầu tiên ... 4 5 6
Kết quả 51 đến 56 của 56
  1. #51
    Thành Viên
    Ngày tham gia
    Jan 2009
    Bài viết
    384
    Thanks
    79
    Thanked 218 Times in 54 Posts

    Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85

    Cuối cùng không có hướng giải quyết!
    Khách viếng thăm hãy cùng pikeman20 xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  2. #52
    Thành Viên
    Ngày tham gia
    Jan 2009
    Bài viết
    384
    Thanks
    79
    Thanked 218 Times in 54 Posts

    Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85

    Trích dẫn Gửi bởi thecong [Only registered and activated users can see links. ]
    Hỏi các cao nhân thì trả lời như sau

    - vì bác gọi ra là $file_log = "modules/".$module.".txt"; lên cũng ko lo gại vấn đề "include" file khác em ko bít à nha.
    tốt nhất bác nên để như vầy $file_log = đường dẫn tuyệt đối; còn nếu có dùng include thì kiểm soát nó và hạn chế dùng thui vừa load lâu lại nguy cơ bác có thể dùng hàm file_get_contents nhất là file log vừa an toàn vừa kiểm soát được tình hình chức năng bác tìm hiểu tý nhé thằng hàm này nó ưu điểm là ko cho thực thi kể cả file php.
    Cái đường dẫn tuyệt đối của "modules/".$module.".txt" là ở đâu?
    Khách viếng thăm hãy cùng pikeman20 xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  3. #53
    Thành Viên
    Ngày tham gia
    Jan 2009
    Bài viết
    384
    Thanks
    79
    Thanked 218 Times in 54 Posts

    Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85

    Tạo cái trang đăng nhập cho forder log đi
    Khách viếng thăm hãy cùng pikeman20 xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  4. #54
    Thành Viên
    Ngày tham gia
    Sep 2011
    Bài viết
    184
    Thanks
    228
    Thanked 24 Times in 19 Posts

    Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85

    Trích dẫn Gửi bởi LạiVănSâm [Only registered and activated users can see links. ]
    sử dụng auto nạp thẻ là xong ý mà
    auto nap thẻ ko phải là 100%

    đôi lúc đánh seri và mã thẻ thì lỗi thệ thống thanh toán...

    lúc đó báo ko nạp dc thẻ và thẻ vẫn đi
    Khách viếng thăm hãy cùng duyanh12285 xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  5. #55
    Thành Viên
    Ngày tham gia
    Mar 2011
    Bài viết
    182
    Thanks
    15
    Thanked 12 Times in 11 Posts

    Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85

    Đổi tên /server thành tên khác rồi làm sao nó vô đc? Đặt thêm cái code cho trước khi vào file /log/index.php
    Mà em nhớ thẻ trong TVweb được lưu trong database của server mà đâu có lưu trong file log của web đâu?
    Em xài có thấy tình trạng mất thẻ nào?
    Khách viếng thăm hãy cùng garllado xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  6. #56
    Make a difference
    Ngày tham gia
    Dec 2008
    Bài viết
    143
    Thanks
    28
    Thanked 27 Times in 22 Posts

    Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85

    Theo mình thấy, TVweb 1.85 đâu bị lỗi này. Mình đang dùng đây.
    Đúng thật, là TVWeb thiếu rule chổ $_GET cho file Server/log/index.php
    Nhưng đây chưa phải là vấn đề, nếu dòm code, ta có thể thấy 1 dòng cứu vớt kia mà ?
    Trích nội dung 2 dòng mà chủ topic đề cập đến.
    Dòng
    PHP Code:
    $module $_GET['module']; 

    PHP Code:
    $action $_GET['action']; 
    Thật sự, đây là sơ xót của coder khi không kiểm tra biến đầu vào cho giao thức $_GET mà cho gán luôn vào.
    Nhưng chính dòng bên dưới của 2 dòng này đã chặn đc hành vi của các attacker rồi,
    cùng xem
    PHP Code:
    $file_log "modules/".$module.".txt"
    Ta thấy, cho dù attacker dùng dot slash hay 2dot slash cũng k thể vượt qua cái rule bé tí này đâu ạ.

    tôi ví dụ, index.php?module=../../config.php, khi vào code, có thể dịch là:
    PHP Code:
    $file_log "modules/../../config.php.txt"
    Thế thì xin lỗi attacker, lúc này dòng path này không còn ý nghĩa nữa.
    @chủ topic: bạn đã thật sự test chưa ? Bỏ 1 file test.ini ở ngoài folder root, rồi dot dot slash cái path ra xem đọc đc ko?
    Cộng thêm, file log/index.php này không hề dùng hàm include, mà ở đây là fopen, cái mà chủ topic nói có lẽ nằm ở trang home của TVweb, nhưng ở home thì đã rule rồi

    Nếu các bạn vẫn không yên tâm, thì có thể làm theo cách sau đây:
    Mở file Server/log/index.php

    Tìm
    PHP Code:
    $module $_GET['module']; 
    Sửa dòng đó lại thành
    PHP Code:
    if(preg_match('/^[A-Za-z0-9_]*$/'$_GET[module])) {    $module $_GET['module'];} else { $module ''; } 
    Tương tự với dòng
    PHP Code:
    $action $_GET['action']; 
    Thành
    PHP Code:
    if(preg_match('/^[A-Za-z0-9_]*$/'$_GET[action])) {    $action $_GET['action'];} else { $action ''; } 
    Vài lời mạo muội, nếu có hiểu sai ý xin thông cảm
    Lần sửa cuối bởi lastpr0, ngày 25-11-11 lúc 03:46 PM.
    Khách viếng thăm hãy cùng lastpr0 xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

 

 
Trang 6 của 6 Đầu tiênĐầu tiên ... 4 5 6

Các Chủ đề tương tự

  1. Cần giúp đỡ về TVWeb 1.85
    Bởi kunyeudung trong diễn đàn Hỏi Đáp/ Yêu Cầu
    Trả lời: 4
    Bài viết cuối: 25-08-11, 02:45 AM
  2. Lỗi bảng xếp hạng tháng TVWeb 1.85
    Bởi whylove trong diễn đàn Hỏi Đáp/ Yêu Cầu
    Trả lời: 4
    Bài viết cuối: 16-08-11, 08:57 PM
  3. Help TVWEB 1.85
    Bởi gauandy trong diễn đàn Hỏi Đáp/ Yêu Cầu
    Trả lời: 3
    Bài viết cuối: 21-06-11, 08:17 AM
  4. Lỗi Web TVweb 1.67
    Bởi daiuycong trong diễn đàn Hỏi Đáp/ Yêu Cầu
    Trả lời: 3
    Bài viết cuối: 16-11-10, 05:38 PM
  5. Cần Giúp Về TVWeb
    Bởi daiuycong trong diễn đàn Hỏi Đáp/ Yêu Cầu
    Trả lời: 0
    Bài viết cuối: 07-11-10, 01:36 PM

Quyền viết bài

  • Bạn Không thể gửi Chủ đề mới
  • Bạn Không thể Gửi trả lời
  • Bạn Không thể Gửi file đính kèm
  • Bạn Không thể Sửa bài viết của mình
  •  
Múi giờ GMT +7. Bây giờ là 08:52 AM.
vBulletin®, Copyright ©2000-2011, Jelsoft Enterprises Ltd.
CLBGamesVN không chịu trách nhiệm về Luật Bản Quyền của các tài liệu, bài viết v.v...được đăng tải trên diễn đàn này.
Diễn đàn phát triển dưới sự đóng góp của tất cả thành viên. BQT chỉ là những người thành lập ra sân chơi, quản lý và duy trì về mặt kỹ thuật, nội dung khi hợp lệ.