(Дырь!)Гости могут выставлять репутацию?!?
Добавлено: 18 сен 2020, 01:58
Собственно на сие чудесо случайно наткнулся в "Занимательной практике" от Раксы. Баллы репутации с оч-чень издевательскими комментариями, явно и намеренно нарушающими Правила Форума похлеще чем "недавно нарушал" топикстартер. Пользователь по CreateOwnerу обьекта именуется "Гость", но в базе пользователей отсутствует. Хотя по
NBSC комментатор легко идентифицируется как не раз уже регистрировавшийся и банившийся тут за то же самое, но в комментах, под разными никами очень знакомый персонаж. Тема находится НЕ во флеймовой ветке, поэтому неавторизованные пользователи туда в принципе репутацию ставить иметь возможности не должны. Пример такой репы-привидения тут.
Ребята, у Вас в движке явное нарушение сетевой безопасности получается. Поскольку вот такую штучку повесить можно 2 способами:
- Либо ручной впиской в базу SQL(для чего нужно иметь рабочую учётку админа БД или туда физдоступ).
- Либо обезличиванием обьекта(заменой CreateOwnerа), на которую надо иметь учётку с правами сильно поболя обычного юзера.
- Либо имеем потерю синхронизации таблиц [параметров обьектов] и [базы учёток], в которую без "участия в этом процессе ручками" как-то не очень верится. Уж очень эта "рассинхронизация" выборочна.
Теоретически такое ещё возможно если есть ошибки в обработке БД удаления пользователя, но, насколько я помню, по правилам форума учётки вобще не удаляются(возможно именно по этой причине).
Так что поздравляю. Либо у кого-то из "верхов" уплыла привелигированная учётка. Либо кто-то под законной привелигированной учёткой впал в детство и права ему явно жмут. Либо(что ещё хуже) - у Вас завелись неавторизованные редакторы БД на хостере. Тут уж разбирайтесь сами. Для этого как минимум надо смотреть политику учётных записей(кому права на такие изменения в базе разрешены) и логи по обьекту(кто и как его таким призрачным сделал). У меня правов даже на просмотр этих обьектов нету(и в общем и не должно быть).
В общем признаки взлома на превышение полномочий налицо. Разбирайтесь, что у Вас тут за "чертовщина" с базой творится.
NBSC комментатор легко идентифицируется как не раз уже регистрировавшийся и банившийся тут за то же самое, но в комментах, под разными никами очень знакомый персонаж. Тема находится НЕ во флеймовой ветке, поэтому неавторизованные пользователи туда в принципе репутацию ставить иметь возможности не должны. Пример такой репы-привидения тут.
Ребята, у Вас в движке явное нарушение сетевой безопасности получается. Поскольку вот такую штучку повесить можно 2 способами:
- Либо ручной впиской в базу SQL(для чего нужно иметь рабочую учётку админа БД или туда физдоступ).
- Либо обезличиванием обьекта(заменой CreateOwnerа), на которую надо иметь учётку с правами сильно поболя обычного юзера.
- Либо имеем потерю синхронизации таблиц [параметров обьектов] и [базы учёток], в которую без "участия в этом процессе ручками" как-то не очень верится. Уж очень эта "рассинхронизация" выборочна.
Теоретически такое ещё возможно если есть ошибки в обработке БД удаления пользователя, но, насколько я помню, по правилам форума учётки вобще не удаляются(возможно именно по этой причине).
Так что поздравляю. Либо у кого-то из "верхов" уплыла привелигированная учётка. Либо кто-то под законной привелигированной учёткой впал в детство и права ему явно жмут. Либо(что ещё хуже) - у Вас завелись неавторизованные редакторы БД на хостере. Тут уж разбирайтесь сами. Для этого как минимум надо смотреть политику учётных записей(кому права на такие изменения в базе разрешены) и логи по обьекту(кто и как его таким призрачным сделал). У меня правов даже на просмотр этих обьектов нету(и в общем и не должно быть).
В общем признаки взлома на превышение полномочий налицо. Разбирайтесь, что у Вас тут за "чертовщина" с базой творится.