prowebber.ru - Тут есть все для настоящих вебмастеров

Раздел	Название темы	Ответов	Последний
Другая работа	Раскрутка всего Вконтакте/Живы ...	17	Ice*Sn1per (^_^)
DataLife Engine	Скрипт постинга новостей	11	Defender
Графика для сайта	Графика на заказ	47	Xenitron™
Кредиты	Принимаю лимиты WebMoney	8	NextBOB
DataLife Engine	Увеличение картинки при нажати ...	5	Тимур
Форумные игры	Или-или	98	Xenitron™

« Февраль 2012 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29

ProWebber | Всё для вебмастера » Всё для DataLife Engine » DLE хаки » Взлом через модуль Облако Тегов

Взлом через модуль Облако Тегов

Автор: ТорЧок 13 марта 2010 Всё для DataLife Engine » DLE хаки

У нас вы можете скачать бесплатно Взлом через модуль Облако Тегов .

Не пропустите комментарии к Взлом через модуль Облако Тегов.

Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.

Итак, обнаружена уязвимость в стороннем модуле для DLE.
Воспользуемся недостаточной фильтрацией в строннем модуле - флеш облако тегов.

Использование уязвимости:

С помощью данного метода мы можем получить сессию админа, вытащить куки, успешно залогиньться и сотворить бяку противнику. crazy

Пути решения проблемы:

Статья основана на материалах с: nulled.ws
Статью переписал, дополнил: ТорЧ (RIPs.su)

(голосов: 9)

Просмотры: 60034 VIP ProWebber | Комментарии (53)

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

DaImeR

13 марта 2010 09:53
Регистрация: 21.11.2009

ICQ: 1942177
Комментариев: 329

Скрой лучше за рейтинг smile

--------------------

Господи, перезагрузи этот мир

eXteRnaL

13 марта 2010 09:56
Регистрация: 13.02.2010

ICQ: 395951912
Комментариев: 27

А куды именно его

$tags = $db->safesql( htmlspecialchars( strip_tags( stripslashes( trim( $_GET['tagcloud'] ) ) ), ENT_QUOTES ) );

впихнуть в файле parse.class.php

--------------------

Адаптация модулей под новую линейку DLE. Любые работы с CMS DLE
----
С уважением, eXtErNaL
E-mail: external.dle@gmail.com
ICQ: 395-951-912

fenom

13 марта 2010 10:02
Регистрация: 6.07.2009

ICQ: --
Комментариев: 384

ТорЧ, я добавил малек репы в хайд, а то школота сейчас наплывет...

--------------------

ТорЧок

13 марта 2010 10:05
Регистрация: 5.01.2010

ICQ: --
Комментариев: 259

Цитата: GeBrieL

добавил малек репы в хайд, а то школота сейчас наплывет...

Школота как-раз воспользоваться им вряд-ли сможет. ))

--------------------

Покинул проект...

p.s. Купить можно далеко не всё.

fenom

13 марта 2010 10:06
Регистрация: 6.07.2009

ICQ: --
Комментариев: 384

Цитата: ТорЧок

Школота как-раз воспользоваться им вряд-ли сможет. ))

Я о том, что вопросов будет дох*я + на каждом ГС будет инфа blush

UPD картинка новости убила)))

--------------------

Толик

13 марта 2010 10:25
Регистрация: 1.02.2010

ICQ: --
Комментариев: 30

Мб кто на dle-news.ru отпишется?
ЗЫ: А то, что скрыли, уже в гюгле найти можно :(

--------------------

kzpromo

13 марта 2010 10:42
Регистрация: 11.09.2009

ICQ: 6960380
Комментариев: 83

кому интересно как юзать

Внимание! У вас нет прав для просмотра скрытого текста.

--------------------

Spenden

13 марта 2010 11:34
Регистрация: 18.11.2009

ICQ: --
Комментариев: 465

Выкл.

Версии все? А то прост не написано

--------------------

Эх =)

hecz

13 марта 2010 11:35
Регистрация: 24.02.2010

ICQ: 791833
Комментариев: 95

Уязвимость обнаружена на версиях: 7.5 - 8.5
Степень опасности: средняя

--------------------

www.dreads.me - Дред мастер

TexnoMozg

13 марта 2010 13:19
Регистрация: 7.09.2009

ICQ: --
Комментариев: 50

Уязвимость не в самом движке,а в облаке тегов!!

warme

13 марта 2010 13:24
Регистрация: 20.02.2010

ICQ: --
Комментариев: 2

Как я понял это ломает облако тегов?

Doctor1

13 марта 2010 13:51
Регистрация: 23.10.2009

ICQ: 393877266
Комментариев: 10

Цитата: warme

Как я понял это ломает облако тегов?

ухахах, взлом сайта через облоко тегов.

kep

13 марта 2010 13:53
Регистрация: 29.11.2009

ICQ: 2465527
Комментариев: 254

Теги - ненужная вещь! ИМХО. Кто не юзает - молодец и уберег себя от дырки smile

--------------------

000000

13 марта 2010 13:54
Регистрация: 19.01.2010

ICQ: --
Комментариев: 30

warme,
ахаха... через сниффер ломается модуль, что-то новое, пожалуй крадутся печеньки в данном случае, зашифрованные в мд5. Собственно сама новость была еще на нулледе опубликована на неделе

Error

13 марта 2010 14:08
Регистрация: 27.09.2009

ICQ: --
Комментариев: 20

народ речь то вообще о стороннем моде причём тут celsoft ???
кстати он не рекомендовал его ставить, если внимательно периодически читать форум там об этом есть

super120

13 марта 2010 14:09
Регистрация: 3.01.2010

ICQ: --
Комментариев: 51

-2

заинглудь в файл класс парсинга входящих данных(parse.class.php) и с помощью него сделай фильтрацию. Что-то типа
$tags = $db->safesql( htmlspecialchars( strip_tags( stripslashes( trim( $_GET['tagcloud'] ) ) ), ENT_QUOTES ) );

Так все-таки куда именно в parse.class.php этот код вставлять?

Dj Dance

13 марта 2010 14:12
Регистрация: 11.11.2009

ICQ: --
Комментариев: 25

Так это уязвимость в стороннем модуле Tagcloud (вывод трехмерного облака тегов), а не в облаке тегов DLE.
Уязвимости уже более месяца. Уязвимы все версии плагина Tagcloud.

Прохожий

13 марта 2010 14:24
Регистрация: 13.03.2010

ICQ: --
Комментариев: 1

Автор, проверяй что пишешь, это не уязвимость CMS, в ней даже файлов таких нет, это уязвимость стороннего модуля в виде трехмерного шарика облака тегов, на форуме поддержки офф сайта, месяца полтора назад писали о уязвимости этого стороннего мода.

Yeti

13 марта 2010 14:38
Регистрация: 3.02.2010

ICQ: 9277210
Комментариев: 93

Автор, скрином и самой публикацией, ты ввёл людей в заблуждение:

Итак, обнаружена очередная уязвимость в популярной CMS.

Я сам невнимательно глянув купился и чуть не начал топотать ногами. Думаю, то что ты хотел сделать из себя героя, усилил громким доменом nulled и это перевесило твою репутацию.

Итого:-1 в репу

--------------------

- logicboard.ru - 67ru.info -
Заработок для Вас: требуется написать обзор форумных движков