YACS comme passeur [Solved]
Solution Manager: Bernard
Issue description
Il semblerait qu'on peut utiliser n'importe comment le script /links/click.php
On tape un URL tel que :
http://yetanothercommunitysystem.com/links/click.php?url=http%3A%2F%2Fwww.bizarrerecords.com%2F
et on l'atteint... et il est enregistré dans les clics de la section /clics/ réservée aux associés. A mon avis c'est une faille parce qu'une façon pas orthodoxe d'exploiter YACS. Je vois deux soucis : d'une part ça pollue la section en question qui n'enregistre que des données faussées, d'autre part il suffirait d'inventer une script automatique, de la faire tourner en permanence et de polluer considérablement la base de données, voire de saturer le serveur. Enfin, si le yacs est en préfixe de l'url, ça peut donner lieu à de vilaines mises en blacklist de spam ou autre.
liens non désirés dans la section "clics" en 7.12 et 8.1 : la discussion à l'origine de cette fiche bug.
Comments
Bernard from nearby-an-airport Associate, 6696 posts |
Le code qui reçoit les demandes de clic a donc été modifié en conséquence, comme indiqué dans le file à l'origine de cette discussion. |
Rate this page
Posted by Moi-meme on Feb. 29, page edited by Bernard on Mar. 1, (popular)
