Забыли пароль?
Запросите новый здесь.

Автор темы: Warhangel
ID темы: 376
Информация:
Тема содержит 17 сообщения, была просмотрена 1851 раз.  Имеются прикрепленные файлы.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Ошибки, баги
 Распечатать тему
Уязвимость в blog.php
Warhangel
В файле мода TI Blog System 1.51 FINAL есть уязвимость:

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии blog.php, когда параметр "page" установлен в значение "blog_id". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости опция "magic_quotes_gpc" должна быть отключена в конфигурационном файле PHP.

Нужна помощь в решении этой проблемы ...
Warhangel присоединено следующее:файл:
blog.rar [825Байтов / 273 Загрузки]
 
Web
Rush
хД инъекции?
 
Web
Polarfox
Здесь нет нужного файла.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Warhangel
уупссс да ... промахнулся - исправляю)
Warhangel присоединено следующее:файл:
ti_blog_system.rar [35.72кБ / 287 Загрузки]
 
Web
Rush
автор, научи как это делается
 
Web
jikaka
тоже интересен метод выявления...
 
Web
Warhangel
ничего сложного) гуглю с запросами на уязвимости
 
Web
yury
Warhangel написал:
ничего сложного) гуглю с запросами на уязвимости


какие запросы?
 
Warhangel
"уязвимость TI BLOG SYSTEM 1.51"
 
Web
Polarfox
Проблемы как бы нет, пруф на оригинальный багрепорт?
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Warhangel
чего то не могу найти повторно откуда я скопипастил ...(бред какойто) нашел пока вот:
http://www.ahazu....?vid=16049 (но это хз для какой версии)
 
Web
jikaka
это скорее всего для 6 версии
 
Web
Warhangel
ну если так тогда фух .... отпустило....)) спасибо
 
Web
Polarfox
Там идет проверка этого значения. Скорее всего эксплойт старый.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
jikaka
Warhangel, там есть ссылка на скачивание мода:
_http://www.phpfusion-mods.net/infusions/downloads/dldb.php?op=view&id=157
она уже недействительна
но вот если перейти по:
http://www.phpfusion-mods.net/infusions/downloads/dldb.php?_op=view&id=156
то там мод для 6-ки и от 31.05.08
так что это точно от 6-ки
 
Web
Warhangel
ну все теперь спокоен - ещё раз спасибо))
 
Web
jikaka
ag
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум: