Забыли пароль?
Запросите новый здесь.

Автор темы: Warhangel
ID темы: 376
Информация:
Тема содержит 17 сообщения, была просмотрена 2903 раз.  Имеются прикрепленные файлы.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Ошибки, баги
 Распечатать тему
Уязвимость в blog.php
Warhangel
В файле мода TI Blog System 1.51 FINAL есть уязвимость:

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии blog.php, когда параметр "page" установлен в значение "blog_id". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости опция "magic_quotes_gpc" должна быть отключена в конфигурационном файле PHP.

Нужна помощь в решении этой проблемы ...
Warhangel присоединено следующее:файл:
blog.rar [825Байтов / 481 Загрузки]
 
Web
Rush
хД инъекции?
 
Web
Polarfox
Здесь нет нужного файла.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
Warhangel
уупссс да ... промахнулся - исправляю)
Warhangel присоединено следующее:файл:
ti_blog_system.rar [35.72кБ / 500 Загрузки]
 
Web
Rush
автор, научи как это делается
 
Web
jikaka
тоже интересен метод выявления...
 
Web
Warhangel
ничего сложного) гуглю с запросами на уязвимости
 
Web
yury
Warhangel написал:
ничего сложного) гуглю с запросами на уязвимости


какие запросы?
 
Warhangel
"уязвимость TI BLOG SYSTEM 1.51"
 
Web
Polarfox
Проблемы как бы нет, пруф на оригинальный багрепорт?
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
Warhangel
чего то не могу найти повторно откуда я скопипастил ...(бред какойто) нашел пока вот:
http://www.ahazu....?vid=16049 (но это хз для какой версии)
 
Web
jikaka
это скорее всего для 6 версии
 
Web
Warhangel
ну если так тогда фух .... отпустило....)) спасибо
 
Web
Polarfox
Там идет проверка этого значения. Скорее всего эксплойт старый.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
jikaka
Warhangel, там есть ссылка на скачивание мода:
_http://www.phpfusion-mods.net/infusions/downloads/dldb.php?op=view&id=157
она уже недействительна
но вот если перейти по:
http://www.phpfusion-mods.net/infusions/downloads/dldb.php?_op=view&id=156
то там мод для 6-ки и от 31.05.08
так что это точно от 6-ки
 
Web
Warhangel
ну все теперь спокоен - ещё раз спасибо))
 
Web
jikaka
ag
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Темы Форум Ответов / Просмотров Последние сообщения
в PHP 7.4 нельзя вставлять пустое значение в `id` как раньше  →  Пожелания и предложения 4 / 1084 19.12.2023 03:32
От какой CMS лучше переделывать плагины сервисов оплаты, доставки, 1С для PHP-Fusion-7?  →  Пожелания и предложения 2 / 1596 08.08.2023 08:59
PHP Fusion 6 несколько проблем  →  Установка и настройка системы 7 / 4355 07.06.2021 23:12
ЧПУ Дополнительных страниц для PHP-Fusion 8  →  Разное 8 / 6144 26.10.2020 18:42
Помогите отключить часть кода в user_info_panel.php  →  Вопросы новичков 5 / 4624 05.10.2020 15:16
Как вебмастеру сформулировали УТП для создания сайтов на PHP-Fusion?  →  Пожелания и предложения 1 / 7312 25.07.2020 03:46
какие функции надо переписать для PHP 7?  →  Пожелания и предложения 15 / 14219 12.07.2020 07:19
SEO-оптимизация. дубли страниц в PHP-Fusion - где искать и как избавиться?  →  Ошибки, баги 0 / 5127 19.06.2020 17:06
PHP-Fusion 7 Bogatyr - бесплатная мультиязычная CMS для блога, форума, фотогалереи  →  Моды 20 / 27227 17.03.2020 19:59
Кто делал гибрид Wordpress и PHP-Fusion?  →  Пожелания и предложения 3 / 3072 08.03.2020 15:50
Топ 5 пользователей форума
Zaxap Zaxap (1,090)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)   SchreiBear SchreiBear (625)