Zobacz temat
Strona 1 z 2: 12
|
 Dziura w Fusionie, jak załatać? SQL Injection
|
|
| ELO320 |
Dodany dnia 13.02.2008 07:45:04
|
 Początkujący  Postów: 152 Ostrzeżeń: 2 Data rejestracji: 28.04.2007 18:08 |
Jeśli temat nie odnosi się do treści to przepraszam ale nie wiem jak go zatytułować. Otóż przed chwilą zaobserwowałem że ktoś zmienił mi podpis na koncie super admina prawdopodobnie jest jakaś dziura, możecie to jakoś naprawić ? Lepiej chro?cie swoje konta !!! Nast?pnym razem serw wyleci w kosmos !!! Istnieje jakiś program/skrypt który sprawdzi poprawność kodu i wykryje ewentualne dziury ? Z góry dziekuję i pozdrawiam. --edit-- Nie tylko na kontach admina jest taki podpis, na kontach innych użytkowników tez. PW od moderatora:
Edytowane przez ELO320 dnia 13.02.2008 09:44:03 |
 |
|
| Wścibski Gość |
Dodany dnia 23.11.2024 04:30:11
|
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
| IP: localhost | |
| Piotrroger |
Dodany dnia 13.02.2008 08:20:03
|
 Bywalec  Postów: 998 Pomógł: 19  v7.02.03Data rejestracji: 27.04.2006 18:29 |
Masz najnowszego Fusiona? Nie - ten temat nie ma sensu, tak - wpisz w szukajke: SQL Injection.  |
|
|
|
| ELO320 |
Dodany dnia 13.02.2008 09:18:36
|
|
Początkujący Postów: 152 Ostrzeżeń: 2 Data rejestracji: 28.04.2007 18:08 |
Oczywiście że najnowszy  |
|
|
|
| Pieka |
Dodany dnia 13.02.2008 09:19:22
|
  Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
Nie ma zadnej dziury, o ktorej wiedzielibysmy. Jednak w Twoim przypadku wine za ten stan rzeczy ponosi cos zgola odmiennego... Pisalismy na temat slabych i idiotycznych hasel i do tego tych samych na roznych serwisach. Pisalismy wiele, wiele razy na temat dziurawych wtyczek i podawalismy sposoby latania. Umiescilismy obszerne artykuly opisujace metody wlaman i ich przeciwdzialaniu. Dodalismy rowniez opis poprawnej konstrukcji wtyczek i modyfikacji. Slowem, zrobilismy niemal wszystko, zebyscie wiedzieli co, jak i skad, ale jak widze osoby takie jak Ty nawet o tym nie wiedza, nie mowiac juz o zaznajomieniu sie z tymi tresciami. Reasumujac: sam sobie jestes winny! Poza tym gdzie jest adres tej strony? Gdzie podana wersja silnika? No i z jakiej racji temat znajduje sie w dziale "Błędy i Korekty", skoro nie podales nawet najmniejszego bledu? Nie pomne nazwy tematu, ktora rowniez jest..... Dodatkowo jest twierdzaca, zamiast pytajaca. Edit: W miedzyczasie podales wersje, wiec powyzsze jest tym bardziej jak najbardziej aktualne. Edytowane przez Pieka dnia 13.02.2008 09:24:26 Jestem jaki jestem
|
|
|
| ELO320 |
Dodany dnia 13.02.2008 09:53:27
|
|
Początkujący Postów: 152 Ostrzeżeń: 2 Data rejestracji: 28.04.2007 18:08 |
Pieka robisz ze mnie ekhmm (pominę to )? Hasło mam unikalne i całkiem długie, zawiera alfabet + cyfry. Z góry zakładasz że Fusion nie ma dziur, zbyt pewnym siebie też nie można być Tematy o zabezpieczeniach czytałem już wcześniej i stosowałem sie do waszych wskazówek, poprawiłem też pliki które wskazałeś. Więc nie wiem co mam niby jeszcze zrobić skoro to co było mówione juz zrobiłem. Jeszcze raz napiszę dla jasności v6.01.13. adres www.imperium-gier.pl Poszukam może coś ominąłem i wszystko posprawdzam jeszcze raz. Edytowane przez ELO320 dnia 13.02.2008 10:03:15 |
|
|
|
| Pieka |
Dodany dnia 13.02.2008 10:11:13
|
|
Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
ELO320 napisał/a: Pieka robisz ze mnie ekhmm (pominę to )?Hasło mam unikalne i całkiem długie, zawiera alfabet + cyfry. Z góry zakładasz że Fusion nie ma dziur, zbyt pewnym siebie też nie można być Tematy o zabezpieczeniach czytałem już wcześniej i stosowałem sie do waszych wskazówek, poprawiłem też pliki które wskazałeś. Więc nie wiem co mam niby jeszcze zrobić skoro to co było mówione juz zrobiłem... Przeczytales dopiero teraz, wiec mi tu kitow nie wciskaj. Widzialem jak krazyles po stronie. Nie chodzi tu o zbytnia pewnosc, bo to bylaby glupota, tylko o suche fakty. Zawsze jest mozliwosc wlamania, o czym swiadczy chocby ostatnio odkryta luka w jadrze Linuxa. Jednak w 99% wine za wlamania ponosza uzytkownicy, wiec wybacz, watpie aby w Twoim przypadku bylo inaczej. Co zrobic? Jeszcze raz wszystko sprawdzic. Przykladowo, zajrzales do plikow wtyczki eXtreme_joke? Watpie... Edytowane przez Pieka dnia 13.02.2008 10:39:06 Jestem jaki jestem
|
|
|
|
| ELO320 |
Dodany dnia 13.02.2008 11:28:53
|
|
Początkujący Postów: 152 Ostrzeżeń: 2 Data rejestracji: 28.04.2007 18:08 |
To że oblukałem teraz je jeszcze raz, sprawdzając nowości bo a nóż coś pominąłem czy jest w tym cos dziwnego? Nie sądzę.
Edytowane przez Pieka dnia 13.02.2008 11:50:31 |
|
|
|
| Pieka |
Dodany dnia 13.02.2008 11:50:43
|
|
Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
Radze sprawdzic wszystkie pliki zawierajace stronicowanie, a nie bedace czescia oficjalnej paczki.
Jestem jaki jestem
|
|
|
|
| adminik |
Dodany dnia 13.02.2008 12:30:13
|
 Początkujący Postów: 124 Data rejestracji: 17.05.2007 18:30 ZBANOWANY: Dożywotnio |
Fusion jest dziurawy to wiem od dawna z własnych doświadczeń./ Może wersja 7 będzie bardziej bezpieczniejsza. |
|
|
|
| Pieka |
Dodany dnia 13.02.2008 12:31:14
|
|
Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
adminik napisał/a: Fusion jest dziurawy to wiem od dawna z własnych doświadczeń./ Może wersja 7 będzie bardziej bezpieczniejsza. Nic nie wiesz, o czym juz pisalismy na Becie. Wszystkie wykrywane luki sa na biezaco poprawiane. Polecam zapoznac sie z dokumentacja i odpowiedziami DevTeam w sprawie bezpieczenstwa PHP-Fusion. Edytowane przez Pieka dnia 13.02.2008 12:45:23 Jestem jaki jestem
|
|
|
|
| ELO320 |
Dodany dnia 13.02.2008 14:55:35
|
|
Początkujący Postów: 152 Ostrzeżeń: 2 Data rejestracji: 28.04.2007 18:08 |
Kontynuując wypowiedz Pieki powiem od siebie ze nie ma programów idealnych, wszystkie maja dziury większe czy mniejsze, mniej szkodliwe czy bardziej ale one istnieją w każdym programie. Czym bardziej skomplikowany program tym więcej dziur ma ot co. Jakby wszystko było idealne to byś nie znał słowa patch i haker... A ty Pieka bądź milszy trochę co? :) Nawet do mnie zwracałeś się niezbyt mile :) Wiem że ciągle pisanie tego samego może drażnić i wyprowadzać z równowagi ale zaciśnij zęby i dawaj przykład ;) Jak będę miał dostęp do plików serwera to powiem ci czy zaglądałem do wtyczki eXtreme_joke. pozdrawiam -ELO- |
|
|
|
| Pieka |
Dodany dnia 13.02.2008 15:00:41
|
|
Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
ELO320 napisał/a: ..A ty Pieka bądź milszy trochę co? Nawet do mnie zwracałeś się niezbyt mile Wiem że ciągle pisanie tego samego może drażnić i wyprowadzać z równowagi ale zaciśnij zęby i dawaj przykład  Jak będę miał dostęp do plików serwera to powiem ci czy zaglądałem do wtyczki eXtreme_joke.. Dla ludzi zakladajacych nowe tematy zamiast kontynuowac w obecnych jestem az nazbyt mily. Zacisnac zeby? Mowie co mysle. A ze jest to czasami bolesne, to juz trudno. Nie napisalem nic takiego, czego musialbym sie wstydzic, czy zle swiadczylo o mnie. Jako SA nie posiadasz dostepu do plikow? Bez komentarza... Na 120% masz w tej wtyczce mozliwosc wykonania sql injection, wiec radze wziac sie do roboty i zaczac zachowywac jak na admina przystalo, zamiast robic mi uwagi jw. Odnosnie zarzutow w stosunku do PHP-Fusion, zacytuje autora: Digitanium wrote: Its nothing to do with that, its commonly either a sql injection or xss used in poorly coded mods/infusions (not official code). Zadales pytanie: ELO320 napisał/a: ..prawdopodobnie jest jakaś dziura, możecie to jakoś naprawić ?.. Odpowiedz brzmi: Nie ma zadnej znanej nam dziury w core PHP-Fusion. Sa za to w niektorych modyfikacjach i wtyczkach. Wszystko zalezy od umiejetnosci autora. Aktualnie pliki dodawane do Laboratorium przechodza przez nasza Bete, gdzie sa sprawdzane pod kazdym wzgledem, przede wszystkim bezpieczenstwa. Powyzszym podsumowaniem koncze moja obecnosc w tym temacie. Edytowane przez Pieka dnia 13.02.2008 15:41:08 Jestem jaki jestem
|
|
|
|
| ELO320 |
Dodany dnia 13.02.2008 18:01:38
|
|
Początkujący Postów: 152 Ostrzeżeń: 2 Data rejestracji: 28.04.2007 18:08 |
Wiesz Pieka niektórzy pracują w ciągu dnia :) I np: w pracy nie mają możliwości instalacji Commandera albo zalogowania sie w Cpanelu. Ale posłuchaj mnie, już mi dosadnie wytłumaczyłeś że wina leży po mojej stronie, już starczy rozumiem za pierwszym razem :) |
|
|
|
| tomekpl |
Dodany dnia 13.02.2008 18:45:01
|
 Przedszkolak  Postów: 4 Data rejestracji: 01.12.2007 21:12 ZBANOWANY: Dożywotnio Złamana licencja |
Pieka kogo tu ty chcesz oszukac???? php-fusion miał dziury i ma je dalej A co do wyedytowanego posta ELO320 przez ciebie to sie sam zastanów jak ty piszesz a potem poprawiaja innych Aha i zmien ten baner z pr=6 bo masz 3
http://www.webmas... - forum webmasterskie
|
|
|
|
| MeTeo |
Dodany dnia 13.02.2008 18:45:41
|
|
Bywalec Postów: 880 Pomógł: 23 Ostrzeżeń: 2 Data rejestracji: 14.12.2005 19:38 |
Mowie co mysle. A ze jest to czasami bolesne, to juz trudno. Tak zwana krytyka jednostronna - admin może, user za to dostanie bana... Co do tematu - podatność skryptów na SQL Infection z tego co pamiętam i mojej małej wiedzy o łamaniu polega złym przesyłaniu danych i sczytywania danych z adresu - czego być nie powinno. Php-Fusion jest bezpieczny? Proszę, nie rozśmieszajcie mnie... Google aż huczy od exploitów. Dziwne, że jak haker chce to bardzo łatwo shackuje stronę opartą o php-fusion w najnowszej wersji... I wcale nie mówię o popularności silnika. Fusion nie jest taki cudowny i lukrowy - również linux. Taki jest wychwalany? Pomimo podstawowych wad, zapewne ma też dużo błędów. Bardzo podobna historia z FireFoxem - Był mało popularny to taki bezpieczny i bezawaryjny... Zwiększyła się popularność to ciągle bugi - fakt, że szybko łatają, chwała im za to. Nie da się napisać cms bezpiecznego - zawsze błąd jest po stronie informatyka a błędy w fusionie odkryte są zgłaszane przez osoby, które testują go. Osoby postronne tego nie zgłoszą... Zapewne przeszukując dokładniej google znalazłbym exploit na fusiona... Pomijając, że łatwiej jest przez wtyczkę... A najprościej wyciągnać hasło metodą phishingową. Proszę, nie mówcie mi, że każdy hacker łamie hasło metodą bruteforce albo słownikową... Sam miałem kilka razy próby włamania jednak szybko zareagowałem i na szczęście udało się sytuację opanować, ale hasła to byś w życiu nie zgadł a łamanie metodą brute force zajęła by Ci kilka lat... Reasumując - Php-fusion ma bugi i zawsze będą - tak jak wszędzie. Nie krytykuję tego gdyż to nie jest możliwe jednakże taka jest prawda. P.S Stare formułki powielane laikom... Pozdrawiam EDIT: Co do zarzutów do braku sensu postu, polecam 2 akapit. Reszta postu odnosi się do bezpieczeństwa fusiona i poruszonych wcześniej kwestii. Nie będę poruszał tematu twoich docinek "idiotycznych jak zawsze" obrażających mnie jako usera, co notabene łamie regulamin. Edytowane przez MeTeo dnia 13.02.2008 19:08:41 |
|
|
|
| Pieka |
Dodany dnia 13.02.2008 19:00:17
|
|
Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
Gdzie w Twoim badz co badz idiotycznym i nie na temat wywodzie (jak zawsze) znajduje sie jakakolwiek odpowiedz na zadane w temacie pytanie? Cos nie moge sie jej doszukac, ale moze szukac nie potrafie? I masz racje, co wolno adminowi, nie zawsze wolno userowi. Tak juz jest i nie zmienisz tego. Ostatni raz upominam, ze masz pisac w zwiazku z tematem, a nie z samej checi pokazania "jaki to ja nie jestem". W przeciwnym wypadku nastepnym razem odpoczniemy od siebie dluzej niz przez 2 tygodnie. Edit: Szanownego, wspanialego i najmadrzejszego uzytkownika naszego portalu nie mialem zamiaru urazic, a juz tym bardziej obrazic. Ale Pana Szanownego MeTeo obraza wszystko, wiec niestety nie sposob go nie obrazic, za co jest mi niezmiernie przykro.. Akapity 2, 3, czy dziesiate niczego nie zmieniaja, poniewaz w temacie dotyczacym tego watku zostalo powiedziane wszystko i wystarczylo to uszanowac, zamiast starac sie za wszelka cene dociac adminowi. Jesli chcesz lac wode, to zmien forum, bo tu z calym szacunkiem robic tego nie bedziesz. tomekpl napisał/a: Pieka kogo tu ty chcesz oszukac???? php-fusion miał dziury i ma je dalej A co do wyedytowanego posta ELO320 przez ciebie to sie sam zastanów jak ty piszesz a potem poprawiaja innych Aha i zmien ten baner z pr=6 bo masz 3 A jaki to ma zwiazek z tematem? Pisze poprawnie stylistycznie, gramatycznie i ortograficznie, czego o Tobie i Twoim koledze powiedziec nie mozna. Edytowane przez Pieka dnia 13.02.2008 19:25:50 Jestem jaki jestem
|
|
|
|
| tomekpl |
Dodany dnia 13.02.2008 19:28:38
|
|
Przedszkolak Postów: 4 Data rejestracji: 01.12.2007 21:12 ZBANOWANY: Dożywotnio Złamana licencja |
Do mojej gramatyki się nie czepiaj Tylko nad swoją popracuj, bo jak bym miał to moderować to oczy by od czerwonego bolały I to nie mój koleś !! Nawet pierwsze zdanie budzi lek, a co dopiero reszta Twojej/ich wypowiedzi../Pieka Edytowane przez Pieka dnia 13.02.2008 20:06:14 http://www.webmas... - forum webmasterskie
|
|
|
|
| adminik |
Dodany dnia 13.02.2008 19:32:15
|
|
Początkujący Postów: 124 Data rejestracji: 17.05.2007 18:30 ZBANOWANY: Dożywotnio |
Ten temat się wymyka spod kontroli... Reasumujmy. 1. Php-Fusion ma błędy w bezpieczeństwie nie ukrywajmy tego. 2. Większość ataków na strony spowodowana jest tym że ich administratorzy używają niezabezpieczonych wtyczek. 3. Nie dyskutuj z adminem on ma zawsze racje  P xDD4. Błędy o ile zostaną zgłoszone są naprawiane. 5. To że PF nie jest bardzo bezpieczny to nie tylko moje zdanie wystarczy trochę poszukać na google aby znaleźć recenzje oraz opinie użytkowników na temat jego bezpieczeństwa. Niema po co kontynuować tego tematu moim zdaniem sprawa została wyjaśniona. |
|
|
|
| Pieka |
Dodany dnia 13.02.2008 19:34:23
|
|
Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
adminik napisał/a: ..Reasumujmy. 1. Php-Fusion ma błędy w bezpieczeństwie nie ukrywajmy tego. 5. To że PF nie jest bardzo bezpieczny to nie tylko moje zdanie wystarczy trochę poszukać na google aby znaleźć recenzje oraz opinie użytkowników na temat jego bezpieczeństwa... Oba punkty sa niezgodne z rzeczywistoscia i wprowadzaja ludzi w blad. Dziurawe sa wtyczki, to jest niezaprzeczalny fakt, ktory nijak sie ma do powyzszego. PHP-Fusion nie jest ani szczegolnie bezpieczny, ani tym bardziej odwrotnie. Jest taki jaki jest i wszyscy caly czas staramy sie aby bylo lepiej. Jednak faktem jest to, co napisalem kilka postow wyzej, ze co zgloszono lub ustalono, to zostalo poprawione. Edytowane przez Pieka dnia 13.02.2008 20:03:47 Jestem jaki jestem
|
|
|
|
| adminik |
Dodany dnia 13.02.2008 19:52:14
|
|
Początkujący Postów: 124 Data rejestracji: 17.05.2007 18:30 ZBANOWANY: Dożywotnio |
Jak sądzisz każdy może mieć swoje zdanie... xD |
|
|
|
Strona 1 z 2: 12
| Przejdź do forum: |