Забыли пароль?
Запросите новый здесь.

Автор темы: Warhangel
ID темы: 376
Информация:
Тема содержит 17 сообщения, была просмотрена 2414 раз.  Имеются прикрепленные файлы.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Ошибки, баги
 Распечатать тему
Уязвимость в blog.php
Warhangel
В файле мода TI Blog System 1.51 FINAL есть уязвимость:

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии blog.php, когда параметр "page" установлен в значение "blog_id". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости опция "magic_quotes_gpc" должна быть отключена в конфигурационном файле PHP.

Нужна помощь в решении этой проблемы ...
Warhangel присоединено следующее:файл:
blog.rar [825Байтов / 310 Загрузки]
 
Web
Rush
хД инъекции?
 
Web
Polarfox
Здесь нет нужного файла.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Warhangel
уупссс да ... промахнулся - исправляю)
Warhangel присоединено следующее:файл:
ti_blog_system.rar [35.72кБ / 329 Загрузки]
 
Web
Rush
автор, научи как это делается
 
Web
jikaka
тоже интересен метод выявления...
 
Web
Warhangel
ничего сложного) гуглю с запросами на уязвимости
 
Web
yury
Warhangel написал:
ничего сложного) гуглю с запросами на уязвимости


какие запросы?
 
Warhangel
"уязвимость TI BLOG SYSTEM 1.51"
 
Web
Polarfox
Проблемы как бы нет, пруф на оригинальный багрепорт?
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Warhangel
чего то не могу найти повторно откуда я скопипастил ...(бред какойто) нашел пока вот:
http://www.ahazu....?vid=16049 (но это хз для какой версии)
 
Web
jikaka
это скорее всего для 6 версии
 
Web
Warhangel
ну если так тогда фух .... отпустило....)) спасибо
 
Web
Polarfox
Там идет проверка этого значения. Скорее всего эксплойт старый.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
jikaka
Warhangel, там есть ссылка на скачивание мода:
_http://www.phpfusion-mods.net/infusions/downloads/dldb.php?op=view&id=157
она уже недействительна
но вот если перейти по:
http://www.phpfusion-mods.net/infusions/downloads/dldb.php?_op=view&id=156
то там мод для 6-ки и от 31.05.08
так что это точно от 6-ки
 
Web
Warhangel
ну все теперь спокоен - ещё раз спасибо))
 
Web
jikaka
ag
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Темы Форум Ответов / Просмотров Последние сообщения
Добавление стороннего php кода в страницу сайта или панель  →  PHP 5 / 512 11.11.2018 07:55
Работа с БД в PHP-Fusion (СУБД) чтобы вносить домены, имена, пароли, и пр.  →  Народное творчество 0 / 82 06.11.2018 13:27
Русская локалка PHP-Fusion 9.03  →  Другое 0 / 85 17.10.2018 06:01
Если есть ошибка в теме или панели PHP-Fusion то мы часто видим белый экран  →  Пожелания и предложения 8 / 5121 11.08.2018 15:03
Fork PHP-Fusion  →  Пожелания и предложения 19 / 7280 02.08.2018 10:36
PHP-Fusion 7 Bogatyr - бесплатный сборник плагинов и модов  →  Моды 7 / 10552 18.07.2018 04:56
Если есть хелпы по PHP-Fusion скопируйте сюда или дайте ссылку  →  Вопросы новичков 1 / 2056 26.06.2018 16:09
Исправление /includes/bbcodes/youtube_bbcode_include.php  →  Ошибки, баги 4 / 6735 01.03.2018 06:53
PHP-Fusion 9.03  →  Книга жалоб и предложений 2 / 4120 23.01.2018 13:48
какие функции надо переписать для PHP 7?  →  Пожелания и предложения 6 / 5419 13.01.2018 13:44
Топ 5 пользователей форума
Alex Alex (1,197)   Zaxap Zaxap (1,078)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)