Dziura w DocumentController::downloadAction()

Question

Dziura w DocumentController::downloadAction()

lyzkov opened this issue 13 years ago · comments

Boguś Łyczba Jr. commented 13 years ago

Dowolny zalogowany użytkownik może przez URL wywołać downloadAction() dla pracy, której nie jest autorem.

Kuba Bomba · Answer 1 · Fri Dec 02 2011 22:29:31 GMT+0800 (China Standard Time)

Wiem, chcialem byc jak maf ;)

Gecaj · Answer 2 · Sat Dec 03 2011 01:35:35 GMT+0800 (China Standard Time)

Hahah :D. Bogus, dobrze, ze juz znajdujesz dziury w systemie, ale powinienes raczej zrobic to cedowanie najpierw.. Z tym czeka mnie jeszcze troche roboty jak to zrobisz, aby wszystko chodzilo jak nalezy.

Boguś Łyczba Jr. · Answer 3 · Sat Dec 03 2011 04:35:46 GMT+0800 (China Standard Time)

Ja te dziury znalazłem przez przypadek tak przy okazji testując swoje rzeczy związane z recenzjami. Jak zacznę specjalnie testować to będzie tego tak na oko 10x więcej. ]:->

Gecaj · Answer 4 · Sat Dec 03 2011 04:53:56 GMT+0800 (China Standard Time)

Zawiało grozą 0.0' U mnie pewnie też dużo tego znajdziesz, ale im więcej tym lepiej, jutro będzie dzień poprawek i dopieszczania ;)