Total Users Online: 29 üye, 0 guest | Tarih/Saat: 2022-06-26 21:14
 
Seditio _GET['w'] Sql Injection
2012-04-03 22:37 GMT  Çoklu Alıntı
Kaan

User is: Online status   Gender_M
Posts: 2772
Ülke: İstanbul - 34
Meslek: Serbest Meslek
Age: 39

Seditio Portal Multiple Vulnerabilities(CSRF Add admin + add new article /Sql InjecTion)

EDİT:

KORKULACAK BİŞEY OLMADIGI ANLAŞILMIŞTIR ARAŞTIRMALAR SONUCUNDA SADECE ADMİN YETKİSİNE SAHİP KİŞİLER SİTEYE UZAKTAN ERİŞEBİLİYORLAR VE SİTEDE ONLİNE OLMALARI GEREKİYOR GEREKLİ İŞLEMİ YAPMAK İÇİN 2.Cİ SORUN İSE ARASTIRILMAYA DEVAM EDİYOR. LİST VE FORUM DOSYALARINDA $w = sed_import ile başlayan satırları pasif yapın şimdilik o kadar önemli değil aktif olması sorunu tamamen çözünce gerekli açıklama yapılıcaktır.
Konuyla İlgili Diğer Başlıklar
Plugins Editör New Seditio 171
Seditio 171 Geliştirmesi.
Seditio
Seditio Eklenti Nasıl Kurulur Video
Seditio rep puan sistemi

Bu mesaj Kaan tarafından 2012-04-12 17:38 GMT, 3727 Gün önce düzenlendi.
Emlak, Oto Galeri, Rent A Car, Şiir, Edebiyat Script Siparişlerinizi Verebilirsiniz.
Detaylar İçin: kaan@ntka.org

Seditio 170 İndir
Capte Müzik İndir
Seditio Toolbar İndir

 

Seditio _GET['w'] Sql Injection
2012-04-04 01:25 GMT  Çoklu Alıntı
TrSniper
Seditio
User is: Online status   Gender_M
Posts: 12
Ülke: Sakarya - 54
Meslek:
Age: 61

Allahtan Localde denıyordum.. Ne dıyelım Gecmıs olsun

Araştırma ıcınde kolay gelsın kaan bey

 

Seditio _GET['w'] Sql Injection
2012-04-04 02:27 GMT  Çoklu Alıntı
Kaan

User is: Online status   Gender_M
Posts: 2772
Ülke: İstanbul - 34
Meslek: Serbest Meslek
Age: 39

Yaptıgımız testler sonucunda her sunucuda çalışmadıgı anlaşılmıştır Kullandıgınız host firmasının güvenlik ayarlarını mümkün oldugunca üst seviyeye çekmesini isteyiniz.

Araştırmaya devam ediyoruz.
Emlak, Oto Galeri, Rent A Car, Şiir, Edebiyat Script Siparişlerinizi Verebilirsiniz.
Detaylar İçin: kaan@ntka.org

Seditio 170 İndir
Capte Müzik İndir
Seditio Toolbar İndir

 

Seditio _GET['w'] Sql Injection
2012-04-04 04:05 GMT  Çoklu Alıntı
Ales McGregor

User is: Online status   Gender_M
Posts: 31
Ülke: İstanbul - 34
Meslek: WH Manager
Age: 35

Simdilik bazi cozumler bunlardir.
functions.php acin asagdaki kodu bulun ve
Kod:
$result = ($usr['id']>0) ? strtoupper(substr($usr['sessionid'], 0, 6)) : 'GUEST';

Bununla deyisin.
Kod:
$result = ($usr['id']>0) ? base64_encode(strtoupper(substr($usr['sessionid'], 0, 12))) : 'GUEST';

Boylece ID kismini uzatarak zor hale sokmus olduruz.

diyer SQL sorunu ise ya Kaan'in dediyi gibi passiv yapcaksiniz yada yerini doldurmak icin gecici olarak asagdaki kodlari uglulicaksiniz..

list.inc.php acin bulun
Kod:
$w = sed_import('w','G','ALP',4);


Deyisin.
Kod:
$w = sed_import('w','P','ALP',4);
Ethical Hacker's
www.redhatz.org
----------------
WH Manager
www.Qlob.us

 

Seditio _GET['w'] Sql Injection
2012-04-04 22:44 GMT  Çoklu Alıntı
Kaan

User is: Online status   Gender_M
Posts: 2772
Ülke: İstanbul - 34
Meslek: Serbest Meslek
Age: 39

gerekli yamayı burada yayınladım http://old.seditiocms.com/forums.....ts&q=1880
Emlak, Oto Galeri, Rent A Car, Şiir, Edebiyat Script Siparişlerinizi Verebilirsiniz.
Detaylar İçin: kaan@ntka.org

Seditio 170 İndir
Capte Müzik İndir
Seditio Toolbar İndir

 

Seditio _GET['w'] Sql Injection
2012-04-07 09:40 GMT  Çoklu Alıntı
M4ster
Seditio
User is: Online status   Gender_M
Posts: 86
Ülke: İzmir - 35
Meslek: CodeR
Age: 35

csrf yi 3 yıl önce yapmıştım ben ancak bu csrf tam randımanlı değil ama yinede çalışıyor, sadece adminin online olması gerek ve iframe atılan bir siteden exploitin admine gösterilmesi gerekki böyle birşey yapılabilsin, seditio admin sessionları her giriş çıkışta yenilendiği için öncelikle bu csrf yi yazan hıyarın bunu bilmesi gerekir, sessionu nasıl çalacak ? bukezde xss bulması gerek xss yi nasıl bulacak ? bulamıcak bu csrf yi yazan adam kendi üzerinde denediği için sessionların farkına varamadı sanırım
Güvenlik danışmanı Seditio & Cotonti Manager

 

Seditio _GET['w'] Sql Injection
2012-04-07 13:04 GMT  Çoklu Alıntı
Kaan

User is: Online status   Gender_M
Posts: 2772
Ülke: İstanbul - 34
Meslek: Serbest Meslek
Age: 39

Evet kesnlikle haklısın bende kodları inceledikden sonra anladım durumu kimse endişe etmesin yani hiç bişi olmaz
Emlak, Oto Galeri, Rent A Car, Şiir, Edebiyat Script Siparişlerinizi Verebilirsiniz.
Detaylar İçin: kaan@ntka.org

Seditio 170 İndir
Capte Müzik İndir
Seditio Toolbar İndir

 

Powered by Seditio © 2009-2012 All Rights Reserved