Забыли пароль?
Запросите новый здесь.

Голосование
Что вас интересует на нашем сайте больше всего?

База аддонов
База аддонов
32% [6 Голосов]

Форум, поиск ответов
Форум, поиск ответов
26% [5 Голосов]

Общение
Общение
26% [5 Голосов]

Новости
Новости
0% [0 Голосов]

Другое
Другое
16% [3 Голосов]

Голосов: 19
Вы должны авторизироваться, чтобы голосовать.
Начат: 16.05.2017 07:06

Архив опросов
Случайная тема
Друзья проекта
Unlogic W0rst Lab
Система Smart для PHP-Fusion
Миничат
Только пользователи могут отправлять сообщения.

Vova
Offline
· 14.11.2018 12:42
Zaxap, на основе Hetzner Cloud через их API: https://hetzner.a.
..loud/login

Polarfox
OfflineAdmin
· 11.11.2018 14:42
no comments

Vveb--ws
Offline
· 10.11.2018 15:24
зачем эти заморочки с безопасностью?

Rush
OfflineAdmin
· 08.11.2018 08:33
Безопасность обычно заключается в том чтобы предотвратить подмену этого айди на клиенте, привязать его к айпи, юзер агенту и прочей фигне

Rush
OfflineAdmin
· 08.11.2018 08:32
Сессию украсть или подменить нельзя, она хранится на сервере. Можно украсть кукисы. Айди сессии это всего лишь айди, он не может быть лучше или хуже чем другой айди)

Архив миничата
Сейчас на сайте
» Гостей: 2

Гости:
» [Ваш IP] 06:28:42
/Новости
» 69.162.124.235 06:26:05

» Всего пользователей: 1,370
» Новый пользователь: EuroHoster
В базе имеется
аддонов: 951
тем: 137
SQL-инъекция в PHP-Fusion
Безопасность

На днях была выявлена уязвимость в PHP-Fusion, которая позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в куки файлах "user" и "admin" в сценарии, к примеру, news.php в includes/classes/Authenticate.class.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Версии подверженные уязвимости: v7.02.01 - v7.02.05

Настоятельно рекомендуется обновиться до последней версии 7.02.06!

PS Уязвимости предположительно не подвержены версии с magic_quotes ON (не проверено на опыте - кто проверит?) , но это не значит что можно ничего не делать - PolarFox.


 

Поделиться этой новостью
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:


#31 | styxjoe 27.02.2013 07:34
No Avatar
Отсутствует
Пользователь
Активный
С 27.02.2013 07:30
Я на всякий случай сделал .htaccess файл с кодом:
<Files custom_pages.php>
order allow,deny
deny from all
</Files>
и положил его в папку administration/ И естественно обновился до 7,02,06
#32 | jikaka 27.02.2013 07:43
Avatar
Отсутствует
Супер Администратор
Активный
С 26.07.2010 12:10
Обратите внимание, что вероятно вредоносные скрипты на Вашем аккаунте были размещены при помощи уязвимости в скрипте administration/custom_pages.php

изначально нужен доступ к админке, дело не в этом файле, через создание страницы был нанесен вред, поэтому они так и считают
мысли | фото
#33 | Vova 27.02.2013 20:55
Avatar
Отсутствует
Пользователь
Активный
С 05.08.2011 11:53
jikaka пишет:
но как партизан молчал


я думал что все знали.
Мои сайты: ABCVG.com / Допомога учням / ГДЗ / 8Gamers - Игровой портал / Мониторинг CS / Мониторинг игровых серверов / Хостинг от ABCVG.net
#34 | util 28.02.2013 15:46
Avatar
Отсутствует
Пользователь
Активный
С 13.09.2010 13:10
"Шестерка" тоже подвержена..
22-го заразили, сегодня сработало.
С IP 31.184.244.18
Счастлив не тот, кто получает подарок, а тот, кто подарок делает.
#35 | styxjoe 01.03.2013 07:58
No Avatar
Отсутствует
Пользователь
Активный
С 27.02.2013 07:30
Это очень печально. Мне хостинг в самом начале атаки один сайт отдал, а второй так и не отдаёт по причине наличия такой опасной уязвимости. Есть надежда что эту дыру закроют?
#36 | jikaka 01.03.2013 12:18
Avatar
Отсутствует
Супер Администратор
Активный
С 26.07.2010 12:10
6-я версия не поддерживается официально
в 7-й дырка закрыта в v7.02.06
мысли | фото
#37 | util 02.03.2013 11:30
Avatar
Отсутствует
Пользователь
Активный
С 13.09.2010 13:10
Почистил и кое-что изменил-добавил. Ребята с хостинга
тоже подмогли. Гады залезли через FTP.
Счастлив не тот, кто получает подарок, а тот, кто подарок делает.
#38 | Serge Renard 02.03.2013 12:34
Avatar
Отсутствует
Пользователь
Активный
С 18.02.2013 18:46
Вот всегда считал, что хранение паролей где-либо, кроме как в голове - есть зло.
В Интернете кто-то неправ!
#39 | jikaka 02.03.2013 14:54
Avatar
Отсутствует
Супер Администратор
Активный
С 26.07.2010 12:10
в голове тоже не все упомнишь, особенно после возвращения с отпуска, фиг что вспомнишьag
мысли | фото
Добавить комментарий
Пожалуйста, залогиньтесь для добавления комментария.
Рейтинги
5 (Отлично!) - 2 Голоса

Рейтинг доступен только для пользователей.

Пожалуйста, авторизуйтесьили зарегистрируйтесь для голосования.