Forum. MyNuke.ru

Forum. MyNuke.ru (http://forum.mynuke.ru/index.php)
-   Уязвимости Защиты (http://forum.mynuke.ru/forumdisplay.php?f=15)
-   -   "ad_click" SQL-инъекция в phpNuke (http://forum.mynuke.ru/showthread.php?t=2682)

Soniks 15.03.2007 14:13

"ad_click" SQL-инъекция в phpNuke
 
Продукт: PHP-Nuke
Версия: 8.0 и ниже
Описание:
Злаумышленник, может сфортмировать и послать запрос к скриптам сайта миную фильт sql инъекций, при помощи параметра "ad_click".

Устранение:


Открываем mainfile.php

Находим (131 строка):
PHP код:
 if(isset($_SERVER['QUERY_STRING']) && (!stripos_clone($_SERVER['QUERY_STRING'], "ad_click"))) { 

Заменяем на:
PHP код:
 if(isset($_SERVER['QUERY_STRING'])) { 


На этом все! :breton:


Часовой пояс GMT +4, время: 15:00.

Copyright © 2005 by Soniks