Joomla! ve Mambo SQL Injection açıkları

Kodla Büyü
ba2khan

ba2khan

Aktif Üye
Mesajlar
225
evet malum joomla da her gün yeni bir açık çıkıyor ,bunlara karşı tedbirli olmamız gerekir
Etkilenen bileşenler: com_blog, com_publication, com_hello_world

* com_blog bileşeni SQL Injectioni açığı: pid parametresi ile gönderilen veriler SQL sorgusunda kullanılmadan önce doğru olarak filtrelenmiyor.
http://www.securityfocus.com/bid/27971

* com_publication bileşeni SQL Injection açığı: pid parametresi ile gönderilen veriler SQL sorgusunda kullanılmadan önce doğru olarak filtrelenmiyor.
http://www.securityfocus.com/archive/1/488690

* com_hello_world bileseni SQL Injection açigi: id parametresi ile gönderilen veriler SQL sorgusunda kullanilmadan önce dogru olarak filtrelenmiyor.
http://www.securityfocus.com/archive/1/488652
 
hocam acıklar joomlanın değil kullanlab bileşenlerin , arada bir dünya fark yanlış yönledirme yapmayalım.
 
id parametresi ile gönderilen veriler sql sorgusunda kullanılmadan önce doğru olarak filtrelenmiyor,bu demektirki istediğimiz kodu çalıştırabiliriz editör modunda,bu açık joomlanın çoğu sürümünde var ve hala hocam sen joomlayı savunuyosun ,joomlanın çıkan en son versiyonu bile açıklar yüzünden tekrar bir üst versiyonunu çıkarma yoluna gitti ,bu bileşenleri kullanmasını bilen herkes sql injection veya cross site scripting yöntemiyle rahatça hackler sistemi
 
hocam o dosyaların server tarafında çalışması demek db ye ulaşması demektir ki configuration pphp sistem içinde acıktır . Geçen gün arkadaşlara dedim ve hala cevap alamadğım güvenlik açığı nedir senin kullanıdığın xp ye bir program kursan ve bunun yüzünden ki mplayer bunu zamannında cok fazlası ile yaptı sorun xp demi yoksa kurduğum bir programdamıdır . Üst düzey versiyon dediğin şey tabiki olacak xp kaç güncelleme aldı hesaplayın hocam siz iişi bilen birisiniz. kaç mb dir toplam o dosyalar ve içerdiği koda bakın . Benim demek istediğim her bişey yüklerseniz elbet hata verirki bilmediğin şeyi yükleymeyeceksin .
* com_blog bileşeni SQL bu bir bilenin açıgıdır joomlanın değil . Ben iki php kodu yazıp ki modül yazmak için biraz xml bilmek yeterlidir db ye index atsam suc kimin şimdi joomlayı yazanın mı yoksa her bulduğunu yükleyenin mi ?

ayrıca
En çok kullanılan hazır forumlardan phpBB`de kod çalıştırmaya neden olan bir güvenlik açığı bulundu...

ronvdaal tarafından raporlanan açığa göre; diyen eden bir yazı var önenümde kapatıp gidelim mi bu siteyi .
 
tamam exemcli hocam ben sadece yeni joomla kullanıcılarını uyarayım dedim :D sen zaten önlemini filan bilirsin ayrıca Remote File Include yöntemine dikkat etsinler joomlacılar , joomla için tedbirler diye bir yazı da yollıcam yeni kullanıcılara
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst