prowebber.cc - Тут есть все для настоящих вебмастеров

Провеббер » DataLife Engine » DLE хаки » [FIX] SQL injection 0day

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?

Обращайся к нам в ЛС группы Вконтакте.

[FIX] SQL injection 0day

Автор: shmel1985 2013-1-17 DataLife Engine / DLE хаки

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.

Скачать бесплатно [FIX] SQL injection 0day.

Автор: MSW
Сайт поддержки: http://0-web.ru/

Фикс по предотвращению SQL injection 0day и возможности сделать себя админом в DLE.

В некоторых случаях в файле /engine/modules/sitelogin.php переменная $_TIME может быть не определена, что позволяет использовать SQL injection.

Лечение:
Файл: /engine/modules/sitelogin.php
Найти:

if( $is_logged ) {

Добавить ниже:

#****** FIX SQL injection *** by MSW ******#
if(!$_TIME) $_TIME = time() + ($config['date_adjust'] * 60);

Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных

Просмотры: 5 438 :: Комментарии (18) :: :: Нужна помощь? Задайте вопрос на форуме ::

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1ALTERNATE

17 января 2013 18:17
Регистрация: 8.08.2009

Был(а) онлайн: 25.02.2020
Комментариев: 130

Блин, всегда стремно ставить сторонние фиксы, не разбираясь в коде.

--------------------

NullSpace.ru - программы для Windows, бесплатно и без регистрации!

#2shadow6630

17 января 2013 18:24
Регистрация: 4.03.2010

Был(а) онлайн: 16.07.2021
Комментариев: 211

ALTERNATE,
там одна строчка кода, можете спокойно ставить (гадостей нет)

--------------------

Целуйте руки матерям,
Пока непоздно,
Ведь время ничтожно мало,
Чтоб не пришлось у гроба припадать к рукам,
Целуйте руки им сейчас
Пусть даже запоздало.

#3promax

17 января 2013 18:30
Регистрация: 13.02.2010

Был(а) онлайн: 10.12.2015
Комментариев: 36

ALTERNATE, так и не ставьте , пусть сайт взламывают ))

#4SaD

17 января 2013 18:35
Регистрация: 23.02.2011

Был(а) онлайн: 8.01.2020
Комментариев: 498

Блин, всегда стремно ставить сторонние фиксы, не разбираясь в коде

Если перевести на русский:
Если переменной нет, используем такое-то значение.

--------------------

dle-doc.ru - документация DLE

#5karus74

17 января 2013 18:43
Регистрация: 17.09.2010

Был(а) онлайн: 13.07.2016
Комментариев: 39

-1

#****** FIX SQL injection *** by MSW ******# - у него на сайте об этом не слова magnify

#6ALTERNATE

17 января 2013 19:10
Регистрация: 8.08.2009

Был(а) онлайн: 25.02.2020
Комментариев: 130

SaD, спасибо, что доступно объяснил.

Кстати, не указано для каких версий, или это для всех ?

--------------------

NullSpace.ru - программы для Windows, бесплатно и без регистрации!

#7Слон

17 января 2013 19:18
Регистрация: 14.10.2011

Был(а) онлайн: 13.01.2017
Комментариев: 333

by MSW - это что?

#8(ppoe)

17 января 2013 19:22
Регистрация: 8.12.2010

Был(а) онлайн: 12.11.2024
Комментариев: 103

Цитата: Слон

by MSW - это что?

Типа что-то вроде "От MSW (MSW - это никнейм человека)"

Цитирую celsoft-а:

Пользоваться фиксом нельзя, он не устраняет проблему, он вообще бессмысленный, он даже не исправляет проблему для которой патч и предназначен. Ставить нужно патч.. ссылка на офф сайт

--------------------

Резкий, как удар серпом по яйцам, жёсткий, как удар молотом — живой советский герб.
Интересная личность

#9Slavchik

17 января 2013 19:46
Регистрация: 5.12.2010

Был(а) онлайн: 5.03.2024
Комментариев: 145

Тык я не знаю...откуда вы эту лабуду взяли. На сайте MSW такой нет!

#10(ppoe)

17 января 2013 19:47
Регистрация: 8.12.2010

Был(а) онлайн: 12.11.2024
Комментариев: 103

Автор: shmel1985
У него спрашивайте

--------------------

Резкий, как удар серпом по яйцам, жёсткий, как удар молотом — живой советский герб.
Интересная личность

#11Dr. Neo

17 января 2013 19:50
Регистрация: 3.12.2009

Был(а) онлайн: 19.10.2019
Комментариев: 393

-1

Slavchik,
этой херни вообще нигде нет.

#12promax

17 января 2013 20:04
Регистрация: 13.02.2010

Был(а) онлайн: 10.12.2015
Комментариев: 36

что же вы не разобравшись навели канитель , просто ввели переменную , которая в некоторых случаях отсутствовала и давала возможность sql инъекции ...

#13MSW

17 января 2013 20:33
Регистрация: 28.11.2009

Был(а) онлайн: 2.01.2020
Комментариев: 153

это я сначала не рассмотрел что уже есть этот фикс в первом патче, потому когда разобрался то и удалил бо смысла с него уже нет, всё уже исправлено в патче дле.

--------------------

Всё для WEB - https://0-web.ru/

#14vpkach

18 января 2013 19:37
Регистрация: 18.07.2012

Был(а) онлайн: 6.01.2015
Комментариев: 113

Цитата: stepanOK

на ставить или нет?

Меня тоже этот вопрос интересует.

#1523neon23

18 января 2013 19:39
Регистрация: 19.04.2010

Был(а) онлайн: 21.11.2024
Комментариев: 252

stepanOK,
vpkach,

Цитата: MSW

всё уже исправлено в патче дле.

Не внимательные Вы наши...

#16sobakatochkaru

19 января 2013 20:09
Регистрация: 28.12.2010

Был(а) онлайн: 24.04.2019
Комментариев: 36

stepanOK,
смотрим выше в комментарий (ppoe) в нём ссылка на патч Патч безопасности для версий 9.6 и ниже - поставьте его если не ставили ранее он и решает эту проблему.