Urgent sfat

Folosiţi acest forum pentru a discuta problemele apărute în timpul folosirii forumului phpBB 3.0.x.
Reguli forum
Aveti o problema si vreti sa primiti ajutor? Click aici ! Nu uitati si de regulamentul forumului !
Închis
Avatar utilizator
Flavius11
Membru
Membru
Mesaje: 102
Membru din: 14-Iun-2012, 01:31:19
Versiune: 3.0.11
MOD: Da
Server: UNIX/Linux
Nivel phpBB: Puţin experimentat
Nivel php: Puţin experimentat
Localitate: Tarnaveni
Contact:

Urgent sfat

Mesaj de Flavius11 » 14-Mai-2015, 11:11:33

Salut , de curand am primit un mesaj pe forumul meu ceva despre SQLI - XSS
Mesajul este :

Cod: Selectaţi tot

* Nu o să respect modelul de prezentare pentru că în acest topic nu este necesar, zic eu.. plus de asta este foarte urgent pentru binele acestei comunităţi.

Am descoperit recent, anumite brese de securitate de tip XSS sau cel putin SQLi.



Proof Of Concept : XSS

1. PHPSESSID ( executand vectorul document.cookie primesc ca si prompt cookie-ul meu )



Proof Of Concept : SQLi

1. La un simplu detectID primesc din prima 'SELECT password' unde s-ar fi putut continua

Citat:
SELECT * FROM table_nume WHERE username=')




Mentionez ca vulnerabilitatea XSS este de tip POST



Documentaţie XSS - http://en.wikipedia.org/wiki/Cross-site_scripting

Documentatie SQLi - http://en.wikipedia.org/wiki/SQL_injection



*//Mentionez ca nu am provocat nici-un fel de rau sistemului, avand acces la PHPSESSID as fi putut face un cookielogger iar avand acces la SQLi as fi putut continua injectia pana as fi ajuns la un database si apoi sa ii dau dump //*



*// Pentru mai multe detalii despre 'how to fix it ' & pentru a verifica si alte form-uri nu ezitati sa ma contactati printr-un PM //*





*//edit : Dacă nu am postat în categoria corespunzătoare, îmi cer scuze.



*//edit2: Orice vector de tip XSS este injectat si citit cu succes, de la case sensitive pana la url_encode. Asta inseamna ca oricine poate cauza defectiuni a le sistemului, recomand rezolvarea urgenta pana ce acesta va fi complet securizat, pentru asta vă pot ajuta eu.



Cel mai simplu, pentru toate tipurile de filtrari atat XSS cat si SQLi sau mai stiu eu ce ar fi sa transformati cat mai multe dintre specialcharacters in html entities, din nou vă pot ajuta eu.


[color=#FF0000][ATENŢIE]Acest topic este strict pentru fondatorii acestei comunităţi, recomand ca acest topic să fie citit cât mai urgent! Mulţumesc.

Vreau sa stiu daca intradevar este asa cum spune , si ce anume am de facut in acest caz .

Avatar utilizator
Anişor
Întreţinere
Întreţinere
Mesaje: 2933
Membru din: 08-Aug-2012, 19:46:05
Versiune: 3.3.0-dev1
MOD: Nu
Server: Windows
Nivel phpBB: Neexperimentat
Nivel php: Neexperimentat
Localitate: Renfrew, Renfrewshire, Scotland
Contact:

Re: Urgent sfat

Mesaj de Anişor » 14-Mai-2015, 21:34:05

Ce versiune phpbb folosesti?
Ajută la dezvoltarea comunității phpBB.ro - Aplică pentru grupul Suport Tehnic.
Fumez mult prea mult pentru vârsta mea ... | Nume anterior: Animo
Disponibil pentru servicii phpBB. | AnixBB

Avatar utilizator
Flavius11
Membru
Membru
Mesaje: 102
Membru din: 14-Iun-2012, 01:31:19
Versiune: 3.0.11
MOD: Da
Server: UNIX/Linux
Nivel phpBB: Puţin experimentat
Nivel php: Puţin experimentat
Localitate: Tarnaveni
Contact:

Re: Urgent sfat

Mesaj de Flavius11 » 15-Mai-2015, 16:11:25

Cod: Selectaţi tot

3.0.12

Avatar utilizator
dorin
Guru
Guru
Mesaje: 4620
Membru din: 24-Iun-2003, 22:23:29
Versiune: 3.1.10
MOD: Da
Server: UNIX/Linux
Nivel phpBB: Mediu
Nivel php: Puţin experimentat
Contact:

Re: Urgent sfat

Mesaj de dorin » 16-Mai-2015, 13:00:19

Ar trebui sa faci actaulizarea la 3.0.14.

Avatar utilizator
Flavius11
Membru
Membru
Mesaje: 102
Membru din: 14-Iun-2012, 01:31:19
Versiune: 3.0.11
MOD: Da
Server: UNIX/Linux
Nivel phpBB: Puţin experimentat
Nivel php: Puţin experimentat
Localitate: Tarnaveni
Contact:

Re: Urgent sfat

Mesaj de Flavius11 » 16-Mai-2015, 13:47:52

imi acorzi putin ajutor te rog :) link ceva .

Închis

Înapoi la “3.0.x Funcţionare”

Cine este conectat

Utilizatori ce ce navighează pe acest forum: Niciun utilizator înregistrat și 1 vizitator