내 이벤트 추적기 달력을 호출하면서 Ajax 서비스가 실행되는 것을 발견했습니다. [MYSERVER]/티 - tracker_calendar리스트? trackerId = 30 & beginField = startDate를 & endField = endDate가 & resourceField = 표제 & coloringField NULL = & 필터 = %의 0D % 0A % 7Bfilter % 20field % 3D % 22tracker_field_eventCategory % 22 % 20content %의 3 차원 % 22 % 22 % 7D의 %의 0D의 %의 0A가 = 1,488,085,200 & 말을 시작 & = 1,491,710,400 & _ = 1490626987241TikiWiki의 익명 사용자가 Ajax 요청 서비스를 중단하는 방법은 무엇입니까?
만약 공격자의 활용이 및 입력 : 티키 - tracker_calendar 목록 trackerId = 30 & beginField = startDate를 & endField = endDate & start = 0 & end = 9999999999 시스템은 트래커 30의 모든 이벤트를 반환합니다. 입력하려고했습니다 : `if (! 는 isset ($ 사용자))
{
헤더 ('위치 : index.php를');
다이; 라인 (35)이 작동
에서
/var/www/html/tikisvn15/tiki-ajax_services.php :
} 파일에서` . 다른 방법이 있습니까? 내 수정으로 Ajax 서비스가 다른 구성 요소에서 중단 될 수 있습니까?
Worked. 그러나 URL을 입력하면 여전히 빈 배열이 표시됩니다. 나는 그걸로 삽니다. – Tommy
예, 항목이 표시되지 않는 오류가 아니기 때문에 반환되는 빈 배열이 있습니다. 추적기 사용 권한은 매우 복잡합니다. 전체적으로 또는 추적기별로 또는 카테고리, 상태 또는 "소유권"별로보기 권한을 조정할 수 있습니다. 아무 것도 보이지 않는 경우 오류를 반환하면 많은 경우 유용하지 않습니다. Tiki에 오신 것을 환영합니다. – jonnybradley