ForumCała strona

Nawigacja

Aktualnie online

Gości online: 14

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

 Drukuj temat
Dziura w Fusionie, jak załatać? SQL Injection
ELO320
Jeśli temat nie odnosi się do treści to przepraszam ale nie wiem jak go zatytułować.

Otóż przed chwilą zaobserwowałem że ktoś zmienił mi podpis na koncie super admina prawdopodobnie jest jakaś dziura, możecie to jakoś naprawić ?

Lepiej chro?cie swoje konta !!! Nast?pnym razem serw wyleci w kosmos !!!


Istnieje jakiś program/skrypt który sprawdzi poprawność kodu i wykryje ewentualne dziury ?

Z góry dziekuję i pozdrawiam.

--edit--
Nie tylko na kontach admina jest taki podpis, na kontach innych użytkowników tez.


PW od moderatora:
  1. Zmiana nazwy tematu - Pieka 13.02 - 09:19
  2. Przeniesienie tematu - Pieka 13.02 - 09:19

Edytowane przez ELO320 dnia 13.02.2008 09:44:03
 
www.imperium-gier.pl
Wścibski Gość
Dodany dnia 25.11.2024 08:20:07
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
Piotrroger
Masz najnowszego Fusiona? Nie - ten temat nie ma sensu, tak - wpisz w szukajke:
SQL Injection.

userbar_sparta3.gif
 
http://spartabks.boo.pl
ELO320
Oczywiście że najnowszy Smile
 
www.imperium-gier.pl
Pieka
Nie ma zadnej dziury, o ktorej wiedzielibysmy.
Jednak w Twoim przypadku wine za ten stan rzeczy ponosi cos zgola odmiennego...
Pisalismy na temat slabych i idiotycznych hasel i do tego tych samych na roznych serwisach.
Pisalismy wiele, wiele razy na temat dziurawych wtyczek i podawalismy sposoby latania.
Umiescilismy obszerne artykuly opisujace metody wlaman i ich przeciwdzialaniu.
Dodalismy rowniez opis poprawnej konstrukcji wtyczek i modyfikacji.
Slowem, zrobilismy niemal wszystko, zebyscie wiedzieli co, jak i skad, ale jak widze osoby takie jak Ty nawet o tym nie wiedza, nie mowiac juz o zaznajomieniu sie z tymi tresciami.

Reasumujac: sam sobie jestes winny!

Poza tym gdzie jest adres tej strony? Gdzie podana wersja silnika?
No i z jakiej racji temat znajduje sie w dziale "Błędy i Korekty", skoro nie podales nawet najmniejszego bledu?
Nie pomne nazwy tematu, ktora rowniez jest..... Dodatkowo jest twierdzaca, zamiast pytajaca.

Edit: W miedzyczasie podales wersje, wiec powyzsze jest tym bardziej jak najbardziej aktualne.
Edytowane przez Pieka dnia 13.02.2008 09:24:26
Jestem jaki jestem Smile
 
www.php-fusion.pl
ELO320
Pieka robisz ze mnie ekhmm (pominę to Smile)?

Hasło mam unikalne i całkiem długie, zawiera alfabet + cyfry.

Z góry zakładasz że Fusion nie ma dziur, zbyt pewnym siebie też nie można być Smile

Tematy o zabezpieczeniach czytałem już wcześniej i stosowałem sie do waszych wskazówek, poprawiłem też pliki które wskazałeś. Więc nie wiem co mam niby jeszcze zrobić skoro to co było mówione juz zrobiłem.

Jeszcze raz napiszę dla jasności v6.01.13. adres www.imperium-gier.pl

Poszukam może coś ominąłem i wszystko posprawdzam jeszcze raz.
Edytowane przez ELO320 dnia 13.02.2008 10:03:15
 
www.imperium-gier.pl
Pieka
ELO320 napisał/a:
Pieka robisz ze mnie ekhmm (pominę to Smile)?

Hasło mam unikalne i całkiem długie, zawiera alfabet + cyfry.

Z góry zakładasz że Fusion nie ma dziur, zbyt pewnym siebie też nie można być Smile

Tematy o zabezpieczeniach czytałem już wcześniej i stosowałem sie do waszych wskazówek, poprawiłem też pliki które wskazałeś. Więc nie wiem co mam niby jeszcze zrobić skoro to co było mówione juz zrobiłem...

Przeczytales dopiero teraz, wiec mi tu kitow nie wciskaj. Widzialem jak krazyles po stronie.
Nie chodzi tu o zbytnia pewnosc, bo to bylaby glupota, tylko o suche fakty.
Zawsze jest mozliwosc wlamania, o czym swiadczy chocby ostatnio odkryta luka w jadrze Linuxa.
Jednak w 99% wine za wlamania ponosza uzytkownicy, wiec wybacz, watpie aby w Twoim przypadku bylo inaczej.
Co zrobic? Jeszcze raz wszystko sprawdzic.
Przykladowo, zajrzales do plikow wtyczki eXtreme_joke? Watpie...
Edytowane przez Pieka dnia 13.02.2008 10:39:06
Jestem jaki jestem Smile
 
www.php-fusion.pl
ELO320
To że oblukałem teraz je jeszcze raz, sprawdzając nowości bo a nóż coś pominąłem czy jest w tym cos dziwnego? Nie sądzę.
Edytowane przez Pieka dnia 13.02.2008 11:50:31
 
www.imperium-gier.pl
Pieka
Radze sprawdzic wszystkie pliki zawierajace stronicowanie, a nie bedace czescia oficjalnej paczki.
Jestem jaki jestem Smile
 
www.php-fusion.pl
adminik
Fusion jest dziurawy to wiem od dawna z własnych doświadczeń./
Może wersja 7 będzie bardziej bezpieczniejsza.
 
memht.pl
Pieka
adminik napisał/a:
Fusion jest dziurawy to wiem od dawna z własnych doświadczeń./
Może wersja 7 będzie bardziej bezpieczniejsza.

Nic nie wiesz, o czym juz pisalismy na Becie.
Wszystkie wykrywane luki sa na biezaco poprawiane.
Polecam zapoznac sie z dokumentacja i odpowiedziami DevTeam w sprawie bezpieczenstwa PHP-Fusion.
Edytowane przez Pieka dnia 13.02.2008 12:45:23
Jestem jaki jestem Smile
 
www.php-fusion.pl
ELO320
Kontynuując wypowiedz Pieki powiem od siebie ze nie ma programów idealnych, wszystkie maja dziury większe czy mniejsze, mniej szkodliwe czy bardziej ale one istnieją w każdym programie. Czym bardziej skomplikowany program tym więcej dziur ma ot co. Jakby wszystko było idealne to byś nie znał słowa patch i haker...

A ty Pieka bądź milszy trochę co? :) Nawet do mnie zwracałeś się niezbyt mile :) Wiem że ciągle pisanie tego samego może drażnić i wyprowadzać z równowagi ale zaciśnij zęby i dawaj przykład ;)

Jak będę miał dostęp do plików serwera to powiem ci czy zaglądałem do wtyczki eXtreme_joke.

pozdrawiam
-ELO-
 
www.imperium-gier.pl
Pieka
ELO320 napisał/a:
..A ty Pieka bądź milszy trochę co? Smile Nawet do mnie zwracałeś się niezbyt mile Smile Wiem że ciągle pisanie tego samego może drażnić i wyprowadzać z równowagi ale zaciśnij zęby i dawaj przykład Wink

Jak będę miał dostęp do plików serwera to powiem ci czy zaglądałem do wtyczki eXtreme_joke..

Dla ludzi zakladajacych nowe tematy zamiast kontynuowac w obecnych jestem az nazbyt mily.
Zacisnac zeby? Mowie co mysle. A ze jest to czasami bolesne, to juz trudno.
Nie napisalem nic takiego, czego musialbym sie wstydzic, czy zle swiadczylo o mnie.

Jako SA nie posiadasz dostepu do plikow? Bez komentarza...
Na 120% masz w tej wtyczce mozliwosc wykonania sql injection, wiec radze wziac sie do roboty i zaczac zachowywac jak na admina przystalo, zamiast robic mi uwagi jw.


Odnosnie zarzutow w stosunku do PHP-Fusion, zacytuje autora:
Digitanium wrote:
Its nothing to do with that, its commonly either a sql injection or xss used in poorly coded mods/infusions (not official code).



Zadales pytanie:
ELO320 napisał/a:
..prawdopodobnie jest jakaś dziura, możecie to jakoś naprawić ?..

Odpowiedz brzmi: Nie ma zadnej znanej nam dziury w core PHP-Fusion.
Sa za to w niektorych modyfikacjach i wtyczkach. Wszystko zalezy od umiejetnosci autora.
Aktualnie pliki dodawane do Laboratorium przechodza przez nasza Bete, gdzie sa sprawdzane pod kazdym wzgledem, przede wszystkim bezpieczenstwa.
Powyzszym podsumowaniem koncze moja obecnosc w tym temacie.
Edytowane przez Pieka dnia 13.02.2008 15:41:08
Jestem jaki jestem Smile
 
www.php-fusion.pl
ELO320
Wiesz Pieka niektórzy pracują w ciągu dnia :) I np: w pracy nie mają możliwości instalacji Commandera albo zalogowania sie w Cpanelu.

Ale posłuchaj mnie, już mi dosadnie wytłumaczyłeś że wina leży po mojej stronie, już starczy rozumiem za pierwszym razem :)
 
www.imperium-gier.pl
tomekpl
Pieka kogo tu ty chcesz oszukac????

php-fusion miał dziury i ma je dalej Smile

A co do wyedytowanego posta ELO320 przez ciebie to sie sam zastanów jak ty piszesz a potem poprawiaja innych Smile

Aha i zmien ten baner z pr=6 bo masz 3 Smile
http://www.webmas... - forum webmasterskie
 
www.dragon-ball.pl
MeTeo
Mowie co mysle. A ze jest to czasami bolesne, to juz trudno.


Tak zwana krytyka jednostronna - admin może, user za to dostanie bana...


Co do tematu - podatność skryptów na SQL Infection z tego co pamiętam i mojej małej wiedzy o łamaniu polega złym przesyłaniu danych i sczytywania danych z adresu - czego być nie powinno.

Php-Fusion jest bezpieczny? Proszę, nie rozśmieszajcie mnie... Google aż huczy od exploitów. Dziwne, że jak haker chce to bardzo łatwo shackuje stronę opartą o php-fusion w najnowszej wersji... I wcale nie mówię o popularności silnika. Fusion nie jest taki cudowny i lukrowy - również linux. Taki jest wychwalany? Pomimo podstawowych wad, zapewne ma też dużo błędów. Bardzo podobna historia z FireFoxem - Był mało popularny to taki bezpieczny i bezawaryjny... Zwiększyła się popularność to ciągle bugi - fakt, że szybko łatają, chwała im za to. Nie da się napisać cms bezpiecznego - zawsze błąd jest po stronie informatyka a błędy w fusionie odkryte są zgłaszane przez osoby, które testują go. Osoby postronne tego nie zgłoszą... Zapewne przeszukując dokładniej google znalazłbym exploit na fusiona... Pomijając, że łatwiej jest przez wtyczkę... A najprościej wyciągnać hasło metodą phishingową.

Proszę, nie mówcie mi, że każdy hacker łamie hasło metodą bruteforce albo słownikową... Sam miałem kilka razy próby włamania jednak szybko zareagowałem i na szczęście udało się sytuację opanować, ale hasła to byś w życiu nie zgadł a łamanie metodą brute force zajęła by Ci kilka lat...

Reasumując - Php-fusion ma bugi i zawsze będą - tak jak wszędzie. Nie krytykuję tego gdyż to nie jest możliwe jednakże taka jest prawda.


P.S Stare formułki powielane laikom...

Pozdrawiam

EDIT: Co do zarzutów do braku sensu postu, polecam 2 akapit. Reszta postu odnosi się do bezpieczeństwa fusiona i poruszonych wcześniej kwestii. Nie będę poruszał tematu twoich docinek "idiotycznych jak zawsze" obrażających mnie jako usera, co notabene łamie regulamin.
Edytowane przez MeTeo dnia 13.02.2008 19:08:41
 
Pieka
Gdzie w Twoim badz co badz idiotycznym i nie na temat wywodzie (jak zawsze) znajduje sie jakakolwiek odpowiedz na zadane w temacie pytanie?
Cos nie moge sie jej doszukac, ale moze szukac nie potrafie?
I masz racje, co wolno adminowi, nie zawsze wolno userowi. Tak juz jest i nie zmienisz tego.
Ostatni raz upominam, ze masz pisac w zwiazku z tematem, a nie z samej checi pokazania "jaki to ja nie jestem".
W przeciwnym wypadku nastepnym razem odpoczniemy od siebie dluzej niz przez 2 tygodnie.

Edit: Szanownego, wspanialego i najmadrzejszego uzytkownika naszego portalu nie mialem zamiaru urazic, a juz tym bardziej obrazic.
Ale Pana Szanownego MeTeo obraza wszystko, wiec niestety nie sposob go nie obrazic, za co jest mi niezmiernie przykro..
Akapity 2, 3, czy dziesiate niczego nie zmieniaja, poniewaz w temacie dotyczacym tego watku zostalo powiedziane wszystko i wystarczylo to uszanowac, zamiast starac sie za wszelka cene dociac adminowi.
Jesli chcesz lac wode, to zmien forum, bo tu z calym szacunkiem robic tego nie bedziesz.



tomekpl napisał/a:
Pieka kogo tu ty chcesz oszukac????

php-fusion miał dziury i ma je dalej Smile

A co do wyedytowanego posta ELO320 przez ciebie to sie sam zastanów jak ty piszesz a potem poprawiaja innych Smile

Aha i zmien ten baner z pr=6 bo masz 3 Smile

A jaki to ma zwiazek z tematem?
Pisze poprawnie stylistycznie, gramatycznie i ortograficznie, czego o Tobie i Twoim koledze powiedziec nie mozna.
Edytowane przez Pieka dnia 13.02.2008 19:25:50
Jestem jaki jestem Smile
 
www.php-fusion.pl
tomekpl
Do mojej gramatyki się nie czepiaj Smile


Tylko nad swoją popracuj, bo jak bym miał to moderować to oczy by od czerwonego bolały Smile

I to nie mój koleś !!



Nawet pierwsze zdanie budzi lek, a co dopiero reszta Twojej/ich wypowiedzi../Pieka
Edytowane przez Pieka dnia 13.02.2008 20:06:14
http://www.webmas... - forum webmasterskie
 
www.dragon-ball.pl
adminik
Ten temat się wymyka spod kontroli...

Reasumujmy.
1. Php-Fusion ma błędy w bezpieczeństwie nie ukrywajmy tego.
2. Większość ataków na strony spowodowana jest tym że ich administratorzy używają niezabezpieczonych wtyczek.
3. Nie dyskutuj z adminem on ma zawsze racje PfftP xDD
4. Błędy o ile zostaną zgłoszone są naprawiane.
5. To że PF nie jest bardzo bezpieczny to nie tylko moje zdanie wystarczy trochę poszukać na google aby znaleźć recenzje oraz opinie użytkowników na temat jego bezpieczeństwa.

Niema po co kontynuować tego tematu moim zdaniem sprawa została wyjaśniona.
 
memht.pl
Pieka
adminik napisał/a:
..Reasumujmy.
1. Php-Fusion ma błędy w bezpieczeństwie nie ukrywajmy tego.
5. To że PF nie jest bardzo bezpieczny to nie tylko moje zdanie wystarczy trochę poszukać na google aby znaleźć recenzje oraz opinie użytkowników na temat jego bezpieczeństwa...

Oba punkty sa niezgodne z rzeczywistoscia i wprowadzaja ludzi w blad.
Dziurawe sa wtyczki, to jest niezaprzeczalny fakt, ktory nijak sie ma do powyzszego.
PHP-Fusion nie jest ani szczegolnie bezpieczny, ani tym bardziej odwrotnie.
Jest taki jaki jest i wszyscy caly czas staramy sie aby bylo lepiej.
Jednak faktem jest to, co napisalem kilka postow wyzej, ze co zgloszono lub ustalono, to zostalo poprawione.

Edytowane przez Pieka dnia 13.02.2008 20:03:47
Jestem jaki jestem Smile
 
www.php-fusion.pl
adminik
Jak sądzisz każdy może mieć swoje zdanie... xD
 
memht.pl
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl