نقطه ضعف امنیتی در PHPBB2 ( فروم همین سایت ) [بایگانی]

Inprise

یک شنبه 14 دی 1382, 14:08 عصر

سلام

نقطه ضعفی از نوع SQL Injection در قسمت Search فروم معروف PHPbb2 باعث میشه نفوذگر بتونه Hash پسورد همه کاربران رو به دست بیاره و بتونه بوسیله اون به سیستم متصل بشه و پسورد رو عوض کنه . یک Exploit به زبان پرل هم براش نوشته و تکثیر شده لذا برای حراست از سایتهایتان اگر به PHPbb2 مجهز هستند بلافاصله قابلیت Search روی اسامی افراد و ID ها رو غیر فعال کنید و سپس دنبال پتچ بگردید . احتمالا" بزودی منتشر میشه .

خوش باشید

M-Gheibi

یک شنبه 14 دی 1382, 23:05 عصر

جناب اینپرایز عزیز من هک کردن بلد نیستم ولی برام جالبه که بدونم از اون Exploit نوشته شده به زبان Perl چطور استفاده میکنند (منظورم این نیست که چطور هک میکنند. منظورم اینه که اون فایل رو جای خاصی میذارن و استفاده میکنند یا ...)

Gladiator

یک شنبه 14 دی 1382, 23:30 عصر

مسعود جان شما اگر اینو بدونی که دیگه نمیگی من هک کردن بلد نیستم ...

M-Gheibi

یک شنبه 14 دی 1382, 23:39 عصر

مسعود جان شما اگر اینو بدونی که دیگه نمیگی من هک کردن بلد نیستم ...
گلادیاتور جان من منظورم اینه که این فایل Exploit رو باهاش چیکار میکنن (میخورنش، میپوشنش، نگاش میکنن و یا ...). فکر نکنم خیلی پیچیده باشه.
اگر هم تفکر من اشتباه هست بگین کجاش؟ 8-) :wink:

jirjirakk

دوشنبه 15 دی 1382, 08:18 صبح

فک کنم اجراش میکنن :oops:

Inprise

دوشنبه 15 دی 1382, 09:11 صبح

Exploit یک فایل اجرائیست ( حالا به هر زبونی نوشته شده باشه ) نقطه ضعف و نحوهء استفاده از اون نقطه ضعف برای "تخریب" سیستم مقابل در اون کد پوشش داده میشه و عملیات نفوذ خودکار میشه . بوسیله توزیع Exploit توسط یک هکر خبره و البته بی وجدان ، لازم نیست شما نگران هکرهای خبره باشید ، پسر بچه های زیر 15 سال هم میتوانند تمام آنچه "بر خط" دارید را تهدید کنند !

M-Gheibi

دوشنبه 15 دی 1382, 12:35 عصر

Exploit یک فایل اجرائیست ( حالا به هر زبونی نوشته شده باشه ) نقطه ضعف و نحوهء استفاده از اون نقطه ضعف برای "تخریب" سیستم مقابل در اون کد پوشش داده میشه و عملیات نفوذ خودکار میشه . بوسیله توزیع Exploit توسط یک هکر خبره و البته بی وجدان ، لازم نیست شما نگران هکرهای خبره باشید ، پسر بچه های زیر 15 سال هم میتوانند تمام آنچه "بر خط" دارید را تهدید کنند !

از توضیحاتتون ممنونم. من فقط یه سوالی برام پیش اومده و اون اینه که چطور میتوان فایلهای Perl که پسوند pl دارند را اجرا کرد. آیا باید روی سرور گذاشت و یا ... ؟

مهدی کرامتی

دوشنبه 15 دی 1382, 12:40 عصر

برای اجرای این فایلها ActivePerl را از سایت ActiveState.com دریافت و نصب کنید (این پکیج رایگان است).

M-Gheibi

دوشنبه 15 دی 1382, 12:46 عصر

برای اجرای این فایلها ActivePerl را از سایت ActiveState.com دریافت و نصب کنید (این پکیج رایگان است).
جناب کرامتی خیلی ممنونم. :wink: