Мы в твиттере Мы в телеграме!

Провеббер » DataLife Engine » DLE хаки » Взлом через модуль Облако Тегов

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?
Обращайся к нам в ЛС группы Вконтакте.

Взлом через модуль Облако Тегов

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
Скачать бесплатно Взлом через модуль Облако Тегов.

Итак, обнаружена уязвимость в стороннем модуле для DLE.
Воспользуемся недостаточной фильтрацией в строннем модуле - флеш облако тегов.

[spoiler=Использование уязвимости:]
У нас два варианта,
Первый, по HTML, второй через XSS.
Да, дырка настолько большая что и простой html отрабатывает так как нам нужно.

вход на сайт XSS:

Внимание! У Вас нет прав для просмотра скрытого текста.


вход на сайт простым HTML :

Внимание! У Вас нет прав для просмотра скрытого текста.


Уязвимость обнаружена на версиях: 7.5 - 8.5
Степень опасности: средняя[/spoiler]

С помощью данного метода мы можем получить сессию админа, вытащить куки, успешно залогиньться и сотворить бяку противнику. :crazy:

[spoiler=Пути решения проблемы:]

Вариант от -=BlackSmoke=- :

[quote]заинглудь в файл класс парсинга входящих данных(parse.class.php) и с помощью него сделай фильтрацию. Что-то типа
$tags = $db->safesql( htmlspecialchars( strip_tags( stripslashes( trim( $_GET['tagcloud'] ) ) ), ENT_QUOTES ) );
[/quote]

Топорный метод от xex:

[quote]а еще можно и нужно в настройках админки иметь такой расклад:
Метод авторизации в админпанели = Расширенный метод
+ для надежности и большей параноидальности
Контроль изменения IP адреса = Высокий уровень
Сбрасывать ключ авторизации при каждом входе? = Да

(ну и надеюсь админка не admin.php называется + я себе даже в .htaccess админку разрешил только с одного ИП )

и кража кук будет бесполезна[/quote][/quote]

Статья основана на материалах с: nulled.ws
Статью переписал, дополнил: ТорЧ (RIPs.su)


Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных


0
Просмотры: 71 840 :: Комментарии (53) :: :: Нужна помощь? Задайте вопрос на форуме ::
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#41GaMeLoT

  • 11 апреля 2010 12:48
  • Регистрация: 5.01.2010
  • Был(а) онлайн: 18.10.2010
  • Комментариев: 10
  • 0
блин прикольная вещ спс автору!

#42Nikolas_Sharp

  • 11 апреля 2010 14:06
  • Регистрация: 11.04.2010
  • Был(а) онлайн: 20.04.2010
  • Комментариев: 20
  • 0
Теперь эту какашко я ставить не буду. Кроме доп. нагрузки на сервер от нее и так пользы никакой.

#43GaMeLoT

  • 13 апреля 2010 11:31
  • Регистрация: 5.01.2010
  • Был(а) онлайн: 18.10.2010
  • Комментариев: 10
  • 0
Прикольно щас скачаю =)

#44vseokDOG

  • 13 апреля 2010 11:42
  • Регистрация: 13.04.2010
  • Был(а) онлайн: 6.11.2020
  • Комментариев: 12
  • 0
ооо круто! надо качнуть будет!

#45magls

  • 21 апреля 2010 23:44
  • Регистрация: 7.04.2010
  • Был(а) онлайн: 6.07.2013
  • Комментариев: 5
  • 0
жалко, а мне облачко нравится

#46ox

  • 2 мая 2010 20:34
  • Регистрация: 29.04.2010
  • Был(а) онлайн: 10.01.2013
  • Комментариев: 49
  • 0
ну оставь, Господи...
лишние ссылки не жми и будет тебе счастье

#47paren

  • 19 сентября 2010 02:51
  • Регистрация: 19.09.2010
  • Был(а) онлайн: 15.01.2011
  • Комментариев: 1
  • 0
ОООО Круто !!!! Ах Супер!!! ОООО !!! Я сча кончу от радости.
Нафига вам чужие сайты O_o ???? Нахрена вам куки???
Ах ж какая радость поднасрать кому-то!!!!
Люди старались, а кто-то пошутить решил... Да?
Вы сначала в жизни САМА чего-то по настоящему стоющего добейтесь.
Ха ЛУЗЕРЫ!!!!

#48Devanagari

  • 19 сентября 2010 03:04
  • Регистрация: 7.04.2010
  • Был(а) онлайн: 29.12.2011
  • Комментариев: 45
  • 0
ТорЧ, я добавил малек репы в хайд, а то школота сейчас наплывет...


Добавь еще.Я думаю идиотов хватает,чтобы "а ради прикола" вломится через облако тегов на сайт.

#49Dankil

  • 3 октября 2010 18:31
  • Регистрация: 2.10.2010
  • Был(а) онлайн: 6.10.2012
  • Комментариев: 135
  • 0
пойду праавить

#50WaRiK

  • 8 февраля 2011 21:26
  • Регистрация: 8.02.2011
  • Был(а) онлайн: 11.11.2020
  • Комментариев: 5
  • 0
лол хз ненужен эта фигня

#51WaRiK

  • 9 февраля 2011 08:38
  • Регистрация: 8.02.2011
  • Был(а) онлайн: 11.11.2020
  • Комментариев: 5
  • 0
kep,
Вообще шутник! Это помогает быстрой индаксации сайта

#52sesai

  • 4 апреля 2011 00:58
  • Регистрация: 6.03.2011
  • Был(а) онлайн: 2.10.2013
  • Комментариев: 33
  • 0
Так все-таки куда именно в parse.class.php этот код вставлять?

#53KAMATOZzz

  • 7 апреля 2011 23:03
  • Регистрация: 30.01.2011
  • Был(а) онлайн: 19.10.2012
  • Комментариев: 9
  • 0
А на 9.2 прокатит?

1 2 3
Предыдущая    Следующая
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Архив новостей
Ноябрь 2024 (1)
Октябрь 2024 (171)
Сентябрь 2024 (13)
Август 2024 (61)
Июль 2024 (12)
Июнь 2024 (30)

Последние комментарии: