Перейти к контенту
  • 0

SQL Injection


mitnik

Вопрос

## Invision Power Board v2.1 <= 2.1.6 sql injection exploit by RST/GHC

## Based on LOCAL_IP bug, more info in RST/GHC Advisory#41

## http://rst.void.ru/papers/advisory41.txt

## tested on 2.1.3, 2.1.6

 

Недостаточная проверка данных передаваемых в HTTP-заголовке CLIENT_IP приводит к уязвимости типа SQL injection.

 

На нашем 2.1.6 сработало за милую душу.

 

на 2.1.7 еще не тестировалось, сегодня проверю.

Если есть какие-то сведения по поводу 2.1.7 профиксена эта дырка или нет?

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0

Не знаю в какой теме написать. Пишу сюда.

 

У меня проблема - форум был взломан. Версия форума IPB 2.1.4. Человек получил права администратора и неизвестным мне образом сменил адрес каждой картинки стилей таким вот образом http://forum.com.ua/.,./.,.,.,.,style_imag...t/bh_header.gif , то есть вставил в адрес рисунка /.,./.,.,.,., - результат налицо - стили абсолютно нерабочие. Картинки есть но форум их не видит.

 

Я поставил новую версию форума 2.1.7 через upgrade чтобы сохранить все сообщения. К моему удивлению со стилями ничего не произошло все как было так и осталось. Я попробовал удалить старые стили и поставить новые - эффект тот же. :D

 

ПОмогите пожалуйста

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Ant_Z,

проверь путь урл до картинок в главных настройках форума.

и посмотри глобальный скин, мне такимже образом туда троян засунули, проверь не добавлено ли пхп как аттач и пхп как аватары и картинки

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Хм! А линк на заплатку или хотябы инфу про это?

http://www.ibresource.ru/forums/index.php?...1576&st=900

 

И в следующий раз, когда соберешся америку открывать, потрудись перед этим воспользоваться поиском :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0
## Invision Power Board v2.1 <= 2.1.6 sql injection exploit by RST/GHC

## Based on LOCAL_IP bug, more info in RST/GHC Advisory#41

## http://rst.void.ru/papers/advisory41.txt

## tested on 2.1.3, 2.1.6

 

Недостаточная проверка данных передаваемых в HTTP-заголовке CLIENT_IP приводит к уязвимости типа SQL injection.

 

На нашем 2.1.6 сработало за милую душу.

 

на 2.1.7 еще не тестировалось, сегодня проверю.

Если есть какие-то сведения по поводу 2.1.7 профиксена эта дырка или нет?

[off]Такой ник, а закрыть не может..

 

Ай-ай-ай! Низя тебе такой ник использовать.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.