By registering with us, you'll be able to discuss, share and private message with other members of our community.
Починил все отображения, теперь все работает, также были устранены еще уязвимости, на данный момент их не наблюдаю
Спасибо одному человечку @Spolzer что указал на уязвимости, так что было исправлено все ниже: CSRF — нет токенов, любой сайт может делать POST от имени юзера Rate limiting — нет защиты от брутфорса логина/PIN Privilege escalation — update_user/delete_rule/reset_fine не проверяют уровень доступа Session fixation — session_regenerate_id не вызывается при логине XSS — аватар URL никак не валидируется, вставляется в src Утечка ошибок — fail($e->getMessage()) отдаёт PHP-ошибки клиенту Enumerate users — разные сообщения при неверном email/пароле Missing auth checks — некоторые мутирующие экшены не требуют минимального уровня $_REQUEST — смешивает GET и POST, позволяет подменять POST параметры через URL были обновлены файлы: login.php pin.php index.php includes/auth.php includes/app.js.php api/api.php
