Forum. MyNuke.ru
Forum. MyNuke.ruСообщения за сегодняПерсональные сообщения

Навигация  
Вернуться   Forum. MyNuke.ru > PHP-NUKE > Безопасность > Уязвимости Защиты
Ник
Пароль
Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Soniks вне форума      Старый PHP-NUKE SQL-Иньекция в модуле Search #1  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
21.02.2006, 19:11

Продукт: php-nuke

Версия: 7.5-7.9

Уровень: средний

Описание: Из-за отсутствия проверки переменной $query в модуле Search злоумышленник может произвести sql инъекцию и завладеть правами администратора и более серьезных последствий.

Устранение:
Открываем modules/Search/index.php
находим:
PHP код:
 $query stripslashes(check_html($query"nohtml")); 

заменяем на:
PHP код:
 $query addslashes(check_html($query"nohtml")); 
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Ispanez вне форума      Старый #2  
Ispanez
Новенький
Регистрация: 16.01.2006
Сообщения: 9


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Ispanez Посетить домашнюю страницу Ispanez Найти все сообщения от Ispanez Добавить Ispanez в список друзей  
09.03.2006, 03:11

А в модуле RuSearch V0.2 там такая строка

PHP код:
 $query stripslashes($query); 


Как в нем, тоже поменять?

Soniks вне форума      Старый #3  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
11.03.2006, 01:17

Ispanez да тоже нужно профильтровать входящий запрос
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Совмещаю PHP Nuke 7.8 и vBulletin 3.0.7 Ernest-Oleg-Iv Настройка и Изменение 5 07.01.2007 17:18
PHPNuke SQL Иньекция Your_Account Soniks Уязвимости Защиты 0 16.02.2006 22:58
PHPNuke SQL Иньекция -> удаленные команды Soniks Уязвимости Защиты 0 26.10.2005 04:39
пробоемы с Php nuke 7.5 rus незарегистрированный Установка 3 08.09.2005 01:20


Часовой пояс GMT +4, время: 13:27.


На Верх
Рейтинг@Mail.ru