Забыли пароль?
Запросите новый здесь.

Автор темы: Warhangel
ID темы: 376
Информация:
Тема содержит 17 сообщения, была просмотрена 2953 раз.  Имеются прикрепленные файлы.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Ошибки, баги
 Распечатать тему
Уязвимость в blog.php
Warhangel
В файле мода TI Blog System 1.51 FINAL есть уязвимость:

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии blog.php, когда параметр "page" установлен в значение "blog_id". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости опция "magic_quotes_gpc" должна быть отключена в конфигурационном файле PHP.

Нужна помощь в решении этой проблемы ...
Warhangel присоединено следующее:файл:
blog.rar [825Байтов / 500 Загрузки]
 
Web
Rush
хД инъекции?
 
Web
Polarfox
Здесь нет нужного файла.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
Warhangel
уупссс да ... промахнулся - исправляю)
Warhangel присоединено следующее:файл:
ti_blog_system.rar [35.72кБ / 522 Загрузки]
 
Web
Rush
автор, научи как это делается
 
Web
jikaka
тоже интересен метод выявления...
 
Web
Warhangel
ничего сложного) гуглю с запросами на уязвимости
 
Web
yury
Warhangel написал:
ничего сложного) гуглю с запросами на уязвимости


какие запросы?
 
Warhangel
"уязвимость TI BLOG SYSTEM 1.51"
 
Web
Polarfox
Проблемы как бы нет, пруф на оригинальный багрепорт?
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
Warhangel
чего то не могу найти повторно откуда я скопипастил ...(бред какойто) нашел пока вот:
http://www.ahazu....?vid=16049 (но это хз для какой версии)
 
Web
jikaka
это скорее всего для 6 версии
 
Web
Warhangel
ну если так тогда фух .... отпустило....)) спасибо
 
Web
Polarfox
Там идет проверка этого значения. Скорее всего эксплойт старый.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
jikaka
Warhangel, там есть ссылка на скачивание мода:
_http://www.phpfusion-mods.net/infusions/downloads/dldb.php?op=view&id=157
она уже недействительна
но вот если перейти по:
http://www.phpfusion-mods.net/infusions/downloads/dldb.php?_op=view&id=156
то там мод для 6-ки и от 31.05.08
так что это точно от 6-ки
 
Web
Warhangel
ну все теперь спокоен - ещё раз спасибо))
 
Web
jikaka
ag
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Темы Форум Ответов / Просмотров Последние сообщения
PHP FUSION 7 ПЕРЕОСМЫСЛЕНИЕ.  →  Народное творчество 115 / 96203 06.10.2024 05:23
PHP-FUSION XEDITOR  →  Народное творчество 4 / 3446 01.08.2024 07:20
Новые идеи и предложения для PHP-FUSION  →  Новости и объявления 0 / 1354 10.06.2024 20:12
YOUTUBE PARSER CHANNEL ДЛЯ PHP FUSION 7  →  Плагины 2 / 4599 31.05.2024 14:26
в PHP 7.4 нельзя вставлять пустое значение в `id` как раньше  →  Пожелания и предложения 4 / 7680 19.12.2023 03:32
От какой CMS лучше переделывать плагины сервисов оплаты, доставки, 1С для PHP-Fusion-7?  →  Пожелания и предложения 2 / 6034 08.08.2023 08:59
PHP Fusion 6 несколько проблем  →  Установка и настройка системы 7 / 10560 07.06.2021 23:12
ЧПУ Дополнительных страниц для PHP-Fusion 8  →  Разное 8 / 17877 26.10.2020 18:42
Помогите отключить часть кода в user_info_panel.php  →  Вопросы новичков 5 / 7188 05.10.2020 15:16
Как вебмастеру сформулировали УТП для создания сайтов на PHP-Fusion?  →  Пожелания и предложения 1 / 9454 25.07.2020 03:46
Топ 5 пользователей форума
Zaxap Zaxap (1,090)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)   SchreiBear SchreiBear (625)