mail.php/login.php

Никто не сталкивался со спамерами?
Проблемма в том, что если набрать любую ссылку из админки и после нее поставить /login.php
на пример

/admin/mail.php/login.phpто функции этого файла становятся доступны без логина.
В частности mail.php/login.php отправляет по базе вашего магазина почту.
Ордер - показывает все Ваши закзы и т.д.

Кто как боролся?

« Последнее редактирование: 13 Мар 2018 20:34:43 pm от Spido »
*

Spido

  • *
  • 1634

Админка в дефолтном магазине не защищена вообще ни чем.
Как защитить административную часть я описал здесь.

Если вам помогли, то не стесняйтесь отблагодарить донатом:

Кто как боролся?
все просто, вот заплатка
http://code.google.com/p/oscmax2/source/detail?r=169

*

Fenix

А можно подробней?
Там есть адрес файла в котором нужно изменить код, насколько я понял: /trunk/catalog/admin/includes/application_top.php
А что с этим кодом делать?
134  134
135  135 ....   Это строки которые нужно изменить или что? Помогите пожалуйста разобраться.