[tespara]

Kod:

Your submission could not be processed because a security token was missing or mismatched.
If this occurred unexpectedly, please inform the administrator and describe the action you performed before you received this error.

CSRF (Cross Site Request Forgery = Çapraz site isteği sahtekarlığı) adlı yeni vbulletin koruma sistemi vb 3.6.10 ve üstü sürümlerine eklenmiş olup geri uyumluluğu vardır. Bu koruma 3.parti Hack/Plug-in veya scriptleri de etkileyebilir.

CSRF koruması için 3.Parti script düzenleme :

Bu saldırı yönetminde isteğin nereden geldiğini bilmenin ve/veya 3.parti scriptin kullanıcıyıve/veya scripti neye zorladığı veya kullanıcının neyi kabul ettiğini saptamak pek mümkün değildir.Bir işaret (token) tüm vbulletin son sürümlerine eklenmiştir. ve bundan sonra hiç bir POST isteği bu korumadan geçmeden işlem görmez

Buna ilaveten her güvenlik işareti (SecurityToken) için POST isteği uzak sayfanın kullanıcıyı bir komut yürmete isteğine zorlamasını kaldırmıştır. Bu koruma tüm vbulletin dosyalarına eklenmiştir ve tüm 3.parti dosyalar bu korumayı seçmek ve uygun bir gizli dosya ekleme zorundadır. Bu koruma geri uyumluluk için saklanmıştır.

Korumayı kendi dosyanıza eklemke :

CSRF koruması içindeki dosyanızı seçmek için THIS_SCRIPT komutundan hemen sonra aşağıdaki komutu ekleyin

PHP- Kodu:

define('CSRF_PROTECTION', true); 


Bu değişiklik ile tüm POST istekleri securitytoken (güvenlik işareti)varlığını denetleyecek ve kullanıcı için kıyas yapacak. Eğer yanlış ise yukarıda bahsi geçen hata mesajı görüncek ve sistem duracaktır.

Eğer bu FALSE olarak ayarlanırsa CSRF koruması dosyalardan kaldırılacaktır.BU işlem uzak POST istekleri için uygundur.

Bu öntanımlı sabit eğer dosyanız ile tanımlanmamış ise eski tip refrans kontrolu ile işlem görücektir.

Template Değişiklikleri :

Aşağıdaki değişiklikler vbulletine POST isteği gönderen tüm formlara eklenmelidir.

Kod:

<input type="hidden" name="securitytoken" value="$bbuserinfo[securitytoken]" />

Bu gibi hatalar 3.6.10 ve/veya üstü sürümlerinde görülür. ve aşağıdaki adımları izleyerek çözülebilir.

Mutlak hareketleri için devre dışı brakmak :

Bazı işlemleri bu koruma dışında brakmak gerekebilir. Bunun için aşağıdaki komut kullanılamalıdır

PHP- Kodu:

define('CSRF_SKIP_LIST', 'divran,tespara'); 


Yukarıdaki komut aşağıdaki gibi sayfalar için çalıştırılmaz

Kod:

index.php?do=divran  index.php?do=tespara

CSRF_SKIP_LIST ön tanımlı sabiti değersiz olarak kullanılırsa varsayılan değer ile işlem yapar

Eğer bu koruma çalışma zamanı için etkinleştirilmek istenirse aşağıdaki gibi bir komut kullanılamlıdır.

PHP- Kodu:

if (THIS_SCRIPT == 'index')
{
        $vbulletin->csrf_skip_list[] = 'tespara';
} 


$_POST kullanan AJAX istekleri açin aşağıdaki gibi bir komut kullanılır

PHP- Kodu:

YAHOO.util.Connect.asyncRequest('POST', scriptpath + '?do=ajax', {
    success: this.handle_ajax_response,
    failure: this.handle_ajax_error,
    timeout: vB_Default_Timeout,
    scope: this
}, SESSIONURL + 'securitytoken=' + SECURITYTOKEN + '&foo=' + foo); 


Buna ilaveten aşağıdaki kurallar uygulanmalı:

Yükseltme 3.7.x e ait dosyalar ile yapılmadı. 3.7.x dosyaları yüklenerek yükseletme tekrar yapılır (install/finalupgrade.php)