Kmario19

Complementos-Fix [FIX Risus] Privacidad al firmar muro en el perfil

16 posts en este tema

Hola gente, me encontré con un bug en el script y les comparto la solucion.

 

El bug trata de que al publicar o comentar en el muro de alguien, esta función no verifica la privacidad del usuario, si permite o no que este usuario firme en su muro.

 

En la plantilla si se verifica puesto que aparece esto por ejemplo:

 

9w2nw.png

 

Pero lo que yo hice fue, que antes de que se cambiara la configuración, ya tenía el perfil abierto en otra pestaña para hacer la publicación, después de que cambié la configuración de privacidad en la otra cuenta para que "nadie firmara el muro", fui a la pestaña donde iba a firmar el muro y lo pude hacer perfectamente....

 

Al actualizar el perfil, aparece el msj de que nadie puede publicar en el perfil pero si pude hacerlo mientras tenía la otra pestaña abierta:

 

1y6-e.png

 

Ahora, hice algo diferente, fui a la pagina de To-Up  y ahí me topé con el  mismo caso:

 

 

w4tr2.png

 

Y facilmente entré a otro muro para usar la caja para compartir y solo cambié la id del usuario para que este apuntara a la de to-up asi:

 

yd32k.png

 

Y wala!

 

ay89e.png

 

Es más pueden hacer la prueba uds en sus webs...

 

Para solucionarlo hacen lo siguiente:

 

En el archivo c.muro.php que está en inc/class buscar :

        if(empty($exists)) return '0: El usuario al que intentas comentar no existe.'; 

Y debajo agregar:

		// VERIFICAR QUE PERMITA COMPARTIR EN SU MURO
		include("c.cuenta.php");
		$tsCuenta =& tsCuenta::getInstance();
		// LO SIGO?
		$losigo = $tsCuenta->iFollow($pid);
		// ME SIGUE?
		$mesigue = $tsCuenta->yFollow($pid);
		// PERMISOS
		$priv = $this->getPrivacity($pid, $exists, $losigo, $mesigue);
		// SE PERMITE FIRMAR EL MURO?
		if($priv['mf']['v'] == false) return '0: '.$priv['mf']['m'];

Y con eso verifica su privacidad para continuar compartiendo en el perfil.

 

 

6oe8o.png

 

O cuando no se sigue al usuario:

 

8d1_y.png

 

Aunque no sea un "gran problema de seguridad" esto ayuda a reforzar la seguridad del script aunque sea algo leve...

 

Bueno ya sabes que tiene que ir en el próximo update de risus xD (eso espero)

 

Cualquier duda o problema avisa, espero les agrade el reporte! Hasta pronto :)

Editado por Kmario19
A 19 personas le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

Registra una cuenta o conéctate para comentar

Debes ser un miembro de la comunidad para dejar un comentario

Crear una cuenta

Regístrate en nuestra comunidad. ¡Es fácil!


Registrar una cuenta nueva

Iniciar Sesión

¿Ya tienes cuenta? Conéctate aquí.


Iniciar Sesión

  • Similar Content

    • Por Oficialphp
      Hola amigos de PHPost aca les dejo el fix del mod de tutan-kabron
      "Notificaciones al mencionar a usuario en el muro"
       
       
       
       
      Pasos:
       
      Abrir el archivo c.muro.php y buscar lo siguiente:
       
      // MONITOR         $tsMonitor->setNotificacion(12, $pid, $tsUser->uid, $pub_id); Arriba de eso agregar lo siguiente:
       
      // FIX BY OFICIALPHP [MOD DE TUTAN-KABRON] preg_match_all("/\B@([a-zA-Z0-9_-]{4,16}+)\b/",$data, $users); $menciones = $users[1]; // MENCIONARON A UN USER? if(!empty($users[1])) { foreach($menciones as $user){ # COMPROBAR $uid = $tsUser->getUserID($tsCore->setSecure($user)); if(!empty($uid)){ $tsMonitor->setNotificacion(19, $uid, $tsUser->uid, $pub_id); } } }  
      Luego abrir el archivo c.notificaciones.php y buscar:
       
      17 => array('text' => 'Tu foto recibió una medalla', 'css' => 'medal'), Y agregar debajo:
       
      19 => array('text' => 'te mencionó en una', 'ln_text' => 'publicación', 'css' => 'blue_ball'), Mas abajo buscamos: 
       
      case 17: return 'SELECT f.foto_id, f.f_title, f.f_user, m.medal_id, m.m_title, m.m_image, a.medal_for, u.user_id, u.user_name FROM w_medallas_assign AS a LEFT JOIN f_fotos AS f ON f.foto_id = a.medal_for LEFT JOIN u_miembros AS u ON u.user_id = f.f_user LEFT JOIN w_medallas AS m ON m.medal_id = a.medal_id WHERE m.medal_id = \''.(int)$data['obj_uno'].'\' AND f.foto_id = \''.(int)$data['obj_dos'].'\' LIMIT 1'; break;  
      Y debajo agregamos:
       
      case 19:           return 'SELECT p.pub_id, p.p_user FROM u_muro AS p WHERE p.pub_id = \''.(int)$data['obj_uno'].'\' LIMIT 1';    break; Un poco más abajo buscan: 
       
      case 17:                 $oracion['text'] = 'Tu <a href="'.$site_url.'/fotos/'.$data['user_name'].'/'.$data['foto_id'].'/'.$tsCore->setSEO($data['f_title']).'.html" title="'.$data['f_title'].'"><b>foto</b></a> tiene una nueva <span class="qtip" title="'.$data['m_title'].'"><b>medalla</b> <img src="'.$site_url.'/themes/default/images/icons/med/'.$data['m_image'].'_16.png"/></span>';             break; Y debajo agregan lo siguiente:
       
       
      case 19:                 $oracion['text'] = $this->monitor[$no_type]['text'].$txt_extra;                 $oracion['link'] = $site_url.'/perfil/'.$tsUser->getUserName($data['p_user']).'/'.$data['obj_uno'];                 $oracion['ltext'] = ($this->show_type == 1) ? $ln_text : $tsUser->getUserName($data['p_user']);                 $oracion['ltit'] = ($this->show_type == 1) ? $tsUser->getUserName($data['p_user']) : '';             break;  
      Con eso les quedaría fixeado y operativo el mod.
       
      CAPS:
       
      Mención:

       
      Mencionado:
       

       
      CREDITOS:
       
      @tutan-kabron
       
      Y ami por el fix @Oficialphp 
       
    • Por Kmario19
      Hola gente en este post les comparto las secciones que he desarrollado pero actualizadas a la versión de Risus 1.2 de la misma forma como las he revisado y he encontrado algunos errores y vulnerabilidades que he solucionado por lo cual recomiendo que actualicen para quienes tengan los mods que describiré a continuación.
      ARCHIVOS

      [Importante] Actualizado:
      [SECCIÓN] Archivos V2.1
      MEGA
      JUEGOS

      [Importante] Actualizado:
      [SECCIÓN] Juegos V2.1
      MEGA
      VERSIÓN MOBILE
      Actualizado:
      [MOD] Risus Mobile V2.4
      MEGA
      CALENDARIO

      [Importante] Actualizado:
       [MOD] Calendario de eventos V2.1
      MEGA
      Esto es todo por ahora, espero les sirva a muchos que tal vez han intentado actualizar los mods y les ha dado algún error o no les funciona correctamente.
      Los que tienen el título de [Importante] para quienes tengan esos mods deben actualizarlos SI o SI ya que las anteriores versiones son vulnerables a inyecciones SQL.
      Ya que no puedo editar mis viejos aportes espero que algún mod de buen corazón pueda actualizar los enlaces de descargas en los respectivos posts. Si me dan privilegios para hacerlo sería mucho mejor e,e 
      Si quieren que actualice algún otro aporte háganmelo saber y lo compartiré en este mismo topic. Que tengan buen día, nos vemos en otro mod
      Links actualizados 15/09:
      [MOD] Archivos V2.1 [Kmario19][1.2].zip 64 KB https://mega.nz/#!GoI0jYjY!9607goFbijGGS413IOvCDIjC5kBQW0pm_i9SujKKVnA [MOD] Calendario de eventos V2.1 [Kmario19][1.2].zip 6 KB https://mega.nz/#!b0ARgT7R!oiZPtT_YAJuHX50OjAyfVPR0JDf1GJhOXVkloM4s9pg [MOD] Emoticones Administrables V2 [Kmario19].zip 96 KB https://mega.nz/#!ylRgUTaL!ArAO6KJYJHMc_WM0ARqz5IRqxHRWCZShiKE_TQ9nXfc [MOD] Juegos V2 [Kmario19][1.2].zip 58 KB https://mega.nz/#!y0oxnIQQ!10h_R5DW-lNh5rDzFdgfVTpMZt9H58aLHGcIQV3Hm8Q [MOD] Risus Mobile V2.4 [Kmario19][1.2].zip 518 KB https://mega.nz/#!20pgkSJY!bKiOjE_NH8ktRQrjWyLXoBRFOmVeKlVkAyKZGosIQc4
  • Navegando Recientemente   0 miembros

    No registered users viewing this page.