prowebber.ru - Тут есть все для настоящих вебмастеров

Чтение RSS Мы в твиттере
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

[FIX] SQL injection 0day


Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
У нас вы можете скачать бесплатно [FIX] SQL injection 0day.


Автор: MSW
Сайт поддержки: http://0-web.ru/

Фикс по предотвращению SQL injection 0day и возможности сделать себя админом в DLE.

В некоторых случаях в файле /engine/modules/sitelogin.php переменная $_TIME может быть не определена, что позволяет использовать SQL injection.

Лечение:
Файл: /engine/modules/sitelogin.php
Найти:
if( $is_logged ) {

Добавить ниже:
#****** FIX SQL injection *** by MSW ******#
    if(!$_TIME) $_TIME = time() + ($config['date_adjust'] * 60);


+11
Просмотры: 3660 VIP ProWebber | Комментарии (18)
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1ALTERNATE

  • 17 января 2013 18:17
  • Регистрация: 8.08.2009
  • ICQ: 817135
  • Комментариев: 130
  • Выкл.
Блин, всегда стремно ставить сторонние фиксы, не разбираясь в коде.

--------------------

0

#2shadow6630

  • 17 января 2013 18:24
  • Регистрация: 4.03.2010
  • ICQ: --
  • Комментариев: 212
ALTERNATE,
там одна строчка кода, можете спокойно ставить (гадостей нет)

--------------------

+1

#3promax

  • 17 января 2013 18:30
  • Регистрация: 13.02.2010
  • ICQ: --
  • Комментариев: 38
ALTERNATE, так и не ставьте , пусть сайт взламывают ))

0

#4SaD

  • 17 января 2013 18:35
  • Регистрация: 23.02.2011
  • ICQ: --
  • Комментариев: 502
Блин, всегда стремно ставить сторонние фиксы, не разбираясь в коде

Если перевести на русский:
Если переменной нет, используем такое-то значение.

--------------------

+4

#5karus74

  • 17 января 2013 18:43
  • Регистрация: 17.09.2010
  • ICQ: --
  • Комментариев: 39
#****** FIX SQL injection *** by MSW ******# - у него на сайте об этом не слова magnify

-1

#6ALTERNATE

  • 17 января 2013 19:10
  • Регистрация: 8.08.2009
  • ICQ: 817135
  • Комментариев: 130
  • Выкл.
SaD, спасибо, что доступно объяснил.

Кстати, не указано для каких версий, или это для всех ?

--------------------

0

#7Слон

  • 17 января 2013 19:18
  • Регистрация: 14.10.2011
  • ICQ: --
  • Комментариев: 342
by MSW - это что?

+1

#8(ppoe)

  • 17 января 2013 19:22
  • Регистрация: 8.12.2010
  • ICQ: 116205
  • Комментариев: 100
  • Выкл.
Цитата: Слон
by MSW - это что?

Типа что-то вроде "От MSW (MSW - это никнейм человека)"

Цитирую celsoft-а:

Пользоваться фиксом нельзя, он не устраняет проблему, он вообще бессмысленный, он даже не исправляет проблему для которой патч и предназначен. Ставить нужно патч.. ссылка на офф сайт

--------------------

+1

#9Slavchik

  • 17 января 2013 19:46
  • Регистрация: 5.12.2010
  • ICQ: --
  • Комментариев: 137
  • Выкл.
Тык я не знаю...откуда вы эту лабуду взяли. На сайте MSW такой нет!

+1

#10(ppoe)

  • 17 января 2013 19:47
  • Регистрация: 8.12.2010
  • ICQ: 116205
  • Комментариев: 100
  • Выкл.
Автор: shmel1985
У него спрашивайте

--------------------

0

#11Dr. Neo

  • 17 января 2013 19:50
  • Регистрация: 3.12.2009
  • ICQ: 370771525
  • Комментариев: 400
  • Выкл.
Slavchik,
этой херни вообще нигде нет.

-1

#12promax

  • 17 января 2013 20:04
  • Регистрация: 13.02.2010
  • ICQ: --
  • Комментариев: 38
что же вы не разобравшись навели канитель , просто ввели переменную , которая в некоторых случаях отсутствовала и давала возможность sql инъекции ...

0

#13MSW

  • 17 января 2013 20:33
  • Регистрация: 28.11.2009
  • ICQ: --
  • Комментариев: 153
это я сначала не рассмотрел что уже есть этот фикс в первом патче, потому когда разобрался то и удалил бо смысла с него уже нет, всё уже исправлено в патче дле.

--------------------

+3

#14vpkach

  • 18 января 2013 19:37
  • Регистрация: 18.07.2012
  • ICQ: --
  • Комментариев: 118
Цитата: stepanOK
на ставить или нет?

Меня тоже этот вопрос интересует.

0

#1523neon23

  • 18 января 2013 19:39
  • Регистрация: 19.04.2010
  • ICQ: 4536197
  • Комментариев: 254
  • Выкл.
stepanOK,
vpkach,
Цитата: MSW
всё уже исправлено в патче дле.

Не внимательные Вы наши...

0

#16sobakatochkaru

  • 19 января 2013 20:09
  • Регистрация: 28.12.2010
  • ICQ: --
  • Комментариев: 37
  • Выкл.
stepanOK,
смотрим выше в комментарий (ppoe) в нём ссылка на патч Патч безопасности для версий 9.6 и ниже - поставьте его если не ставили ранее он и решает эту проблему.

+1

#17gugle

  • 21 января 2013 18:50
  • Регистрация: 1.04.2012
  • ICQ: --
  • Комментариев: 31
На дле-ньюс этот фикс еще с ноября висит!

0

#18I_Design_You

  • 8 июня 2013 13:48
  • Регистрация: 7.12.2012
  • ICQ: --
  • Комментариев: 4
Ошибка в версии: 9.6 и все более ранние версии, ya proveryal na 9.7,8. tam vsyo v norme.

0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Max-energy.top - Заработок на электросчетчиках;)

Skripters.info - все для вебмастера. Только эксклюзивный контент.

Создание шаблонов DLE, быстро и недорого! 3wave.com.ua

Бро лей на лучшую партнёрку

Почти бесплатный VDS хостинг!

Поддержи сайт
Скрипты, cms, шаблоны, статьи по раскрутке

Опросы

Как часто вы бываете на сайте?

Захожу 1-2 раза в день
1-2 часа в сутки
Более 2 часов
Почти целый день тут smile

Архив новостей
Ноябрь 2016 (7)
Октябрь 2016 (10)
Сентябрь 2016 (8)
Август 2016 (11)
Июль 2016 (14)
Июнь 2016 (17)

Последние комментарии:

Искать людей

Ваши переписки