Forum. MyNuke.ru
Forum. MyNuke.ruСообщения за сегодняПерсональные сообщения

Навигация  
Вернуться   Forum. MyNuke.ru > PHP-NUKE > Безопасность > Уязвимости Защиты
Ник
Пароль
Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Soniks вне форума      Старый Referer SQL-инъекция в PHP-Nuke #1  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
21.02.2007, 20:07

Продукт: PHP-Nuke
Версия: 8.0 и ниже
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в поле "referer" в HTTP заголовке. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Информация http://www.securitylab.ru
Устранение:
Добавляем проверку данной переменной.
Открываем:
mainfile.php
Находим:
PHP код:
 // override old superglobals if php is higher then 4.1.0 

Выше добавляем:
PHP код:
 $_SERVER['HTTP_REFERER'] = isset($_SERVER['HTTP_REFERER'])?addslashes(stripslashes($_SERVER['HTTP_REFERER'])):''


Советуем проделать данную операцию на всех указанных версиях PHP-NUKE (на данный момент), т.к. дыра есть и очень легко ей воспользоваться, если сервер хостинга не настроен должным образом (что мало вероятно)

Последний раз редактировалось Soniks, 18.03.2007 в 15:57.
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Anibus вне форума      Старый #2  
Аватара для Anibus
Anibus
Новенький
Регистрация: 30.06.2005
Сообщения: 21


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Anibus Найти все сообщения от Anibus Добавить Anibus в список друзей  
22.02.2007, 16:39

здравствуйте,

у меня нет этой строчки. возможно из-за того что я удалили статистику рефералов. что делать, куда код вставлять?

или может, раз рефералы не учитываются, то и опасности нет никакой?

Soniks вне форума      Старый #3  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
22.02.2007, 19:08

тогда добавьте это выше строчке
PHP код:
 $mainfile 1
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Anibus вне форума      Старый #4  
Аватара для Anibus
Anibus
Новенький
Регистрация: 30.06.2005
Сообщения: 21


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Anibus Найти все сообщения от Anibus Добавить Anibus в список друзей  
18.03.2007, 11:37

уважаемый Sonics,

после после внесения указанных в первом посте изменений в систему PHPNuke 7.9 3.2 постояннно получаю следующую ошибку:

PHP код:
 PHP Notice:  Undefined index:  HTTP_REFERER in /..../mainfile.php on line 51 


там у меня как раз та строчка, которую рекомендовали вставить.


отмечу вставлял нужный код как раз до

PHP код:
 // override old superglobals if php is higher then 4.1.0 


т.е. с моим предыдущим вопросом это никак не связано.


Подскажите, как это можно вылечить?

Soniks вне форума      Старый #5  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
18.03.2007, 15:58

Anibus подправил первый пост
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Anibus вне форума      Старый #6  
Аватара для Anibus
Anibus
Новенький
Регистрация: 30.06.2005
Сообщения: 21


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Anibus Найти все сообщения от Anibus Добавить Anibus в список друзей  
18.03.2007, 18:05

спасибо!

Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Совмещаю PHP Nuke 7.8 и vBulletin 3.0.7 Ernest-Oleg-Iv Настройка и Изменение 5 07.01.2007 17:18
php nuke 7.9 + ipb 2.1.* kentbrn Установка 15 14.04.2006 04:33
Проблема при установке PHp nuke 7.6 alexey Установка 5 13.04.2006 02:37
Проблема при установке PHp nuke 7.9 haric Установка 2 08.03.2006 23:46
Помогите решить проблему с PHP Nuke 7.6 + patch 3.0 m0skit Настройка и Изменение 6 27.02.2006 14:38


Часовой пояс GMT +4, время: 03:26.


На Верх
Рейтинг@Mail.ru