#44999 Kopusha:
Ты в курсе что SBR имеет свои дырки?
К примеру создай SBR от пользователя А для пользователя B которые работают вместе, то есть у них есть некая сделка. Посмотри как формируется урл SBR и пользователем С который не имеет никакого отношения к сделке зайти с другого браузера по сформированному урлу (я ооооочень давно в это все не заглядывал, возможно где то ошибаюсь, возможно урл надо видоизменить как то) - и ты создашь сделку между А и С без каких либо других условий - то есть просто нет проверки никакой. Поиграйся с этим моментом.
Там 80% надо на php допиливать если речь идет о стандартных модулях биржи. Что то с ошибками, что то не доделано, и тд.
открываем /plugins/sbr/inc/sbr.main.php
строка №35-38
меняем
if (!$id || !$sql || $sql->rowCount() == 0)
{
cot_block();
}
на
if (!$id || !$sql || $sql->rowCount() == 0)
{
cot_block(false);
}
теперь все "левые" получат:
Ошибка доступа
Вам запрещено выполнять данное действие
Перенаправление...