**[[質問箱3/99]] [#j3a668ff]
#author("2018-03-11T15:24:53+09:00;2006-12-12T02:49:26+09:00","","")
**[[質問箱/3099]] [#j3a668ff]
|RIGHT:70|LEFT:410|c
|~カテゴリ||
|~サマリ|attachプラグインを利用したXSS対策後、attachrefプラグインにて動作不具合|
|~バージョン|1.4.5_1|
|~投稿者|[[oggy]]|
|~状態|完了|
|~投稿日|&new{2005-06-08 (水) 23:29:53};|
***質問 [#w7bb90a2]
はじめまして、以下の問題が出たのでソース追いかけたりしてましたが、そろそろ自己能力の限界なので投稿してみました。
事象としては、attachプラグインを利用したXSS対策として「定数 PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする」との対処を行ったところ管理者パスワードを入力しての登録ができなくなりました。
(pukiwiki.ini.phpの記述ミスやパスワード入力時のタイプミス等はありません)

以下、この辺かなーと思ったところです。対応状況を見たところ1.4.3までの対応プラグインとのことで対象外かもしれませんが、ご確認よろしくお願いします。

+plugin/attachref.inc.php 318行目付近
~入力されたパスワードをMD5暗号化
 $pass = array_key_exists('pass',$vars) ? md5($vars['pass']) : NULL;
+plugin/attach.inc.php 175行目付近
~pkwk_loginをコールしている
 } else if (PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY && $pass !== TRUE && ($pass === NULL || ! pkwk_login($pass))) {
         return array(
                 'result'=>FALSE,
                 'msg'=>$_attach_messages['err_adminpass']);
+lib/func.php 699行目付近
~暗号化前パスワードとpukiwiki.ini.php指定のパスワードを指定している
 global $adminpass;
 if (! PKWK_READONLY && $pass != '' && md5($pass) == $adminpass) {

結果、MD5暗号化されたものがもう一度MD5暗号化に掛けられてしまう?

***回答 [#ec49d0dc]
-1.4.6_rcでも同様の問題を確認しました。PLUGIN_ATTACH_UPLOAD_ADMIN_ONLYをFALSEにした場合は動作していたので、やはり暗号周りの問題でしょう。 --  &new{2005-07-24 (日) 01:21:09};
-これでどうですかね?自分は使ってないので試してませんがとりあえず。
 --- attachref.inc.php.orig    2005-07-24 01:25:06.000000000 +0900
 +++ attachref.inc.php    2005-07-24 01:32:16.000000000 +0900
 @@ -176,7 +176,7 @@
          {
              return array('msg'=>'attach.inc.php not found or not correct version.');
          }
 -        $pass = array_key_exists('pass',$vars) ? md5($vars['pass']) : NULL;
 +        $pass = array_key_exists('pass',$vars) ? $vars['pass'] : NULL;
          $retval = attach_upload($file,$vars['refer'],$pass);
          if ($retval['result'] == TRUE)
          {

やってることを見る限り大丈夫そうですけど。 -- [[okkez]] &new{2005-07-24 (日) 01:34:43};
-同変更方法を採られていた方から書き込みがあり、コメントも記載したのですが消えてしまったようです。 -- [[oggy]] &new{2005-07-26 (火) 14:41:59};
- okkezさんの修正でうまく動作することを確認しました。 --  &new{2006-01-16 (月) 10:27:23};

#comment

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.058 sec.

OSDN