prowebber.ru - Тут есть все для настоящих вебмастеров

Чтение RSS Мы в твиттере
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Всё для вебмастера » Всё для DataLife Engine » DLE хаки » Взлом через модуль Облако Тегов

Взлом через модуль Облако Тегов


Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
У нас вы можете скачать бесплатно Взлом через модуль Облако Тегов.


Итак, обнаружена уязвимость в стороннем модуле для DLE.
Воспользуемся недостаточной фильтрацией в строннем модуле - флеш облако тегов.



С помощью данного метода мы можем получить сессию админа, вытащить куки, успешно залогиньться и сотворить бяку противнику. crazy



Статья основана на материалах с: nulled.ws
Статью переписал, дополнил: ТорЧ (RIPs.su)


0
Просмотры: 70177 VIP ProWebber | Комментарии (53)
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1DaImeR

  • 13 марта 2010 09:53
  • Регистрация: 21.11.2009
  • ICQ: 416980738
  • Комментариев: 338
Скрой лучше за рейтинг smile

--------------------

0

#2eXteRnaL

  • 13 марта 2010 09:56
  • Регистрация: 13.02.2010
  • ICQ: 395951912
  • Комментариев: 69
  • Выкл.
А куды именно его
$tags = $db->safesql( htmlspecialchars( strip_tags( stripslashes( trim( $_GET['tagcloud'] ) ) ), ENT_QUOTES ) );
впихнуть в файле parse.class.php

0

#3fenom

  • 13 марта 2010 10:02
  • Регистрация: 6.07.2009
  • ICQ: 928936
  • Комментариев: 345
ТорЧ, я добавил малек репы в хайд, а то школота сейчас наплывет...

--------------------

0

#4ТорЧок

  • 13 марта 2010 10:05
  • Регистрация: 5.01.2010
  • ICQ: --
  • Комментариев: 247
Цитата: GeBrieL
добавил малек репы в хайд, а то школота сейчас наплывет...

Школота как-раз воспользоваться им вряд-ли сможет. ))

--------------------

0

#5fenom

  • 13 марта 2010 10:06
  • Регистрация: 6.07.2009
  • ICQ: 928936
  • Комментариев: 345
Цитата: ТорЧок
Школота как-раз воспользоваться им вряд-ли сможет. ))

Я о том, что вопросов будет дох*я + на каждом ГС будет инфа blush

UPD картинка новости убила)))

--------------------

0

#6Толик

  • 13 марта 2010 10:25
  • Регистрация: 1.02.2010
  • ICQ: --
  • Комментариев: 28
Мб кто на dle-news.ru отпишется?
ЗЫ: А то, что скрыли, уже в гюгле найти можно :(

--------------------

0

#7kzpromo

  • 13 марта 2010 10:42
  • Регистрация: 11.09.2009
  • ICQ: 6960380
  • Комментариев: 83
кому интересно как юзать
Внимание! У вас нет прав для просмотра скрытого текста.

--------------------

0

#8Spenden

  • 13 марта 2010 11:34
  • Регистрация: 18.11.2009
  • ICQ: --
  • Комментариев: 443
  • Выкл.
Версии все? А то прост не написано

--------------------

0

#9hecz

  • 13 марта 2010 11:35
  • Регистрация: 24.02.2010
  • ICQ: 791833
  • Комментариев: 92
Уязвимость обнаружена на версиях: 7.5 - 8.5
Степень опасности: средняя

--------------------

0

#10TexnoMozg

  • 13 марта 2010 13:19
  • Регистрация: 7.09.2009
  • ICQ: --
  • Комментариев: 49
Уязвимость не в самом движке,а в облаке тегов!!

0

#11warme

  • 13 марта 2010 13:24
  • Регистрация: 20.02.2010
  • ICQ: --
  • Комментариев: 2
Как я понял это ломает облако тегов?

0

#12Doctor1

  • 13 марта 2010 13:51
  • Регистрация: 23.10.2009
  • ICQ: 393877266
  • Комментариев: 10
Цитата: warme
Как я понял это ломает облако тегов?

ухахах, взлом сайта через облоко тегов.

0

#13BR0kEN

  • 13 марта 2010 13:53
  • Регистрация: 29.11.2009
  • ICQ: --
  • Комментариев: 255
Теги - ненужная вещь! ИМХО. Кто не юзает - молодец и уберег себя от дырки smile

--------------------

0

#14000000

  • 13 марта 2010 13:54
  • Регистрация: 19.01.2010
  • ICQ: --
  • Комментариев: 31
warme,
ахаха... через сниффер ломается модуль, что-то новое, пожалуй крадутся печеньки в данном случае, зашифрованные в мд5. Собственно сама новость была еще на нулледе опубликована на неделе

0

#15Error

  • 13 марта 2010 14:08
  • Регистрация: 27.09.2009
  • ICQ: --
  • Комментариев: 22
народ речь то вообще о стороннем моде причём тут celsoft ???
кстати он не рекомендовал его ставить, если внимательно периодически читать форум там об этом есть

0

#16super120

  • 13 марта 2010 14:09
  • Регистрация: 3.01.2010
  • ICQ: --
  • Комментариев: 52
заинглудь в файл класс парсинга входящих данных(parse.class.php) и с помощью него сделай фильтрацию. Что-то типа
$tags = $db->safesql( htmlspecialchars( strip_tags( stripslashes( trim( $_GET['tagcloud'] ) ) ), ENT_QUOTES ) );

Так все-таки куда именно в parse.class.php этот код вставлять?

0

#17Dj Dance

  • 13 марта 2010 14:12
  • Регистрация: 11.11.2009
  • ICQ: --
  • Комментариев: 26
Так это уязвимость в стороннем модуле Tagcloud (вывод трехмерного облака тегов), а не в облаке тегов DLE.
Уязвимости уже более месяца. Уязвимы все версии плагина Tagcloud.

0

#18Прохожий

  • 13 марта 2010 14:24
  • Регистрация: 13.03.2010
  • ICQ: --
  • Комментариев: 1
Автор, проверяй что пишешь, это не уязвимость CMS, в ней даже файлов таких нет, это уязвимость стороннего модуля в виде трехмерного шарика облака тегов, на форуме поддержки офф сайта, месяца полтора назад писали о уязвимости этого стороннего мода.

0

#19Yeti

  • 13 марта 2010 14:38
  • Регистрация: 3.02.2010
  • ICQ: 8237701
  • Комментариев: 189
  • Выкл.
Автор, скрином и самой публикацией, ты ввёл людей в заблуждение:
Итак, обнаружена очередная уязвимость в популярной CMS.


Я сам невнимательно глянув купился и чуть не начал топотать ногами. Думаю, то что ты хотел сделать из себя героя, усилил громким доменом nulled и это перевесило твою репутацию.

Итого:-1 в репу

--------------------

0

#20d0z

  • 13 марта 2010 14:45
  • Регистрация: 29.12.2009
  • ICQ: 913153
  • Комментариев: 455
Yeti, я что-то тоже это не заметил :D

--------------------

0
1 2 3
Предыдущая    Следующая
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Max-energy.top - Заработок на электросчетчиках;)

Skripters.info - все для вебмастера. Только эксклюзивный контент.

Создание шаблонов DLE, быстро и недорого! 3wave.com.ua

Бро лей на лучшую партнёрку

Почти бесплатный VDS хостинг!

Поддержи сайт
Скрипты, cms, шаблоны, статьи по раскрутке

Опросы

Как часто вы бываете на сайте?

Захожу 1-2 раза в день
1-2 часа в сутки
Более 2 часов
Почти целый день тут smile

Архив новостей
Ноябрь 2016 (7)
Октябрь 2016 (10)
Сентябрь 2016 (8)
Август 2016 (11)
Июль 2016 (14)
Июнь 2016 (17)

Последние комментарии:

Искать людей

Ваши переписки