Собственно на сие чудесо случайно наткнулся в "Занимательной практике" от Раксы. Баллы репутации с оч-чень издевательскими комментариями, явно и намеренно нарушающими Правила Форума похлеще чем "недавно нарушал" топикстартер. Пользователь по CreateOwnerу обьекта именуется "Гость", но в базе пользователей отсутствует. Хотя по
NBSC комментатор легко идентифицируется как не раз уже регистрировавшийся и банившийся тут за то же самое, но в комментах, под разными никами очень знакомый персонаж. Тема находится НЕ во флеймовой ветке, поэтому неавторизованные пользователи туда в принципе репутацию ставить иметь возможности не должны. Пример такой репы-привидения тут.
Ребята, у Вас в движке явное нарушение сетевой безопасности получается. Поскольку вот такую штучку повесить можно 2 способами:
- Либо ручной впиской в базу SQL(для чего нужно иметь рабочую учётку админа БД или туда физдоступ).
- Либо обезличиванием обьекта(заменой CreateOwnerа), на которую надо иметь учётку с правами сильно поболя обычного юзера.
- Либо имеем потерю синхронизации таблиц [параметров обьектов] и [базы учёток], в которую без "участия в этом процессе ручками" как-то не очень верится. Уж очень эта "рассинхронизация" выборочна.
Теоретически такое ещё возможно если есть ошибки в обработке БД удаления пользователя, но, насколько я помню, по правилам форума учётки вобще не удаляются(возможно именно по этой причине).
Так что поздравляю. Либо у кого-то из "верхов" уплыла привелигированная учётка. Либо кто-то под законной привелигированной учёткой впал в детство и права ему явно жмут. Либо(что ещё хуже) - у Вас завелись неавторизованные редакторы БД на хостере. Тут уж разбирайтесь сами. Для этого как минимум надо смотреть политику учётных записей(кому права на такие изменения в базе разрешены) и логи по обьекту(кто и как его таким призрачным сделал). У меня правов даже на просмотр этих обьектов нету(и в общем и не должно быть).
В общем признаки взлома на превышение полномочий налицо. Разбирайтесь, что у Вас тут за "чертовщина" с базой творится.
(Дырь!)Гости могут выставлять репутацию?!?
- Старожил
- Сообщения: 2247
- Зарегистрирован: 05 янв 2014, 07:36
- Репутация: 1440
- Пол:
(Дырь!)Гости могут выставлять репутацию?!?
[Гифка не отображается под санкциями ВАОН!]
Нищим духом обнищать - лишь дело времени. Потому что материализованное желание на физику проваливается оч-чень быстро...(с)
Нищим духом обнищать - лишь дело времени. Потому что материализованное желание на физику проваливается оч-чень быстро...(с)
- Site Admin
- Сообщения: 7386
- Зарегистрирован: 01 июл 2008, 23:02
- Репутация: 1241
- Пол:
Re: (Дырь!)Гости могут выставлять репутацию?!?
Alone_Wolf_NRR
Никакая это не дыра. Если профиль пользователя удаляется, то все его комментарии становятся под ником ГОСТЬ. Вы как раз и привели пример такого коммента из репы.
Никакая это не дыра. Если профиль пользователя удаляется, то все его комментарии становятся под ником ГОСТЬ. Вы как раз и привели пример такого коммента из репы.
- Старожил
- Сообщения: 2247
- Зарегистрирован: 05 янв 2014, 07:36
- Репутация: 1440
- Пол:
Re: (Дырь!)Гости могут выставлять репутацию?!?
Понял. Значит зря насторожился :) Потому что вроде как до этого на такое поведение движка не натыкался(обычно в FastBB если удаляется пользователь - удаляются и все его обьекты).
[Гифка не отображается под санкциями ВАОН!]
Нищим духом обнищать - лишь дело времени. Потому что материализованное желание на физику проваливается оч-чень быстро...(с)
Нищим духом обнищать - лишь дело времени. Потому что материализованное желание на физику проваливается оч-чень быстро...(с)
- Site Admin
- Сообщения: 44242
- Зарегистрирован: 25 фев 2009, 01:22
- Репутация: 25441
- Пол:
Re: (Дырь!)Гости могут выставлять репутацию?!?
Нет, у нас это на усмотрение админов, на выбор. Можно снести все, можно только акк, не удаляя объекты деятельности пользователя.Alone_Wolf_NRR писал(а): ↑24 сен 2020, 14:29обычно в FastBB если удаляется пользователь - удаляются и все его обьекты).
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
-
-
Не могут поставить правильный диагноз левому глазу и не могут вылечитт
Амаранта66666 » 11 янв 2023, 09:12 » в форуме ИП Здоровье - 7 Ответы
- 263 Просмотры
-
Последнее сообщение Амаранта66666
12 янв 2023, 15:08
-
-
- 2 Ответы
- 670 Просмотры
-
Последнее сообщение Loreliana1
02 май 2017, 00:12
-
- 0 Ответы
- 154 Просмотры
-
Последнее сообщение viktory777
21 дек 2021, 21:12