Total Users Online: 28 üye, 0 guest | Tarih/Saat: 2022-06-26 20:12
 
Seditio Sql Injection Hakkında Bilgilendirme
2012-04-13 12:20 GMT  Çoklu Alıntı
Kaan

User is: Online status   Gender_M
Posts: 2772
Ülke: İstanbul - 34
Meslek: Serbest Meslek
Age: 39

Seditio Sql Injection

Son zamanlarda Seditio Hakkında çıkan SQL Injection açıkları ile ilgili bu yazıyı yazma gereği duydum.
Seditio'da şuanda hiç bir Sql Injection Açığı yoktur bunu bilmelisiniz.
Bilinen veya var oldugunu idda edenler gereksiz yere Seditio Kullanıcılarını Teretdüt içinde bırakmaktadırlar.
Şimdi sizlere var olduğu idda edilen açıklar hakkında gerekli bilgileri vericem sırasıyla.

1.Users.php
İlgili Konu: http://old.seditiocms.com/sediti.....1845.html
Bu bir açık değildir öncelikle bunu bilmelisiniz.

Açıklama: Seditio'da Tanımlanmış olan $s değişkeni farklı şekilde çagrıldıgı zaman hata vericektir.
Yapılan işlemde hata veriyor görüldüğü gibi hatayı ekrana yazdırmak için yardımcı kod devreye giriyor burada ve hatayı sizin görmenizi saglıyor. Bu bir Sql açığı değildir Tanımlı olan kodun dışında farklı kod çagrıldıgında doğal olarak sistem hata vericektir SQL'de olmayan bir şeyi aradıgınızda.
Biz ne yaptık FİX'de Hatayı ekrana yazdırmasını önledik başka bişey yapmadık hata devam ediyor sadece kullanıcı göremiyor.

2. $get['w'] ve diğerleri
İlgili Konu: http://old.seditiocms.com/sediti.....1880.html

Açıklama: Burada da yukarıda anlattıgım olayın aynısı geçerlidir ilgili değişkenler sisteme tanımlı oldugu için tanımlanmamış bir şekilde çagrıldıgında hata veriyor Her hangi bir SQL İnjection açığı değildir.
İlgili Yamada yine ne yaptık hatanın ekrana basılmasını önledik sadece.

3. PM Okuma Plugin
İlgili Konu: http://old.seditiocms.com/sediti.....1884.html

Açıklama: Eklentide açık vardır fakatsorun teşkil etmez kesinlikle sadece admin gördüğü için her hangi bir risk yoktur.
Eklentideki sorun giderilebilir.
Çözüm:
Kod:
$plugin_body .= "<td>$pm_title</td>";
      $plugin_body .= "<td>$pm_text</td>";

Alttaki şekilde Değiştirin.
Kod:
$plugin_body .= "<td>htmlspecialchars($pm_title)</td>";
      $plugin_body .= "<td>htmlspecialchars($pm_text)</td>";

Veya bu Şekilde
Kod:
$plugin_body .= "<td>sed_cc($pm_title)</td>";
      $plugin_body .= "<td>sed_cc($pm_text)</td>";

4. DBTools Güvenlik Sorunu
İlgili Konu: http://old.seditiocms.com/sediti.....1886.html

Açıklama: Böyle Bir sorun veya açık kesinlikle yoktur.
Burada yapılan işlem Admini Kandırmaktır sadece başka bir şey söz konusu değildirki sadece bu eklenti ile ilgili bişey değil orda yapılan bir konu linkinide aynı şekilde yapabilirsiniz ve admin o konuyu siler görmeden Bu Sadece Seditio İçin Geçerli değildir TÜM CMS FORUM sistemleri için aynı şey yapılabilir açık söz konusu değildir dediğim gibi sadece Admini Kandırma oyunudur.

5. Chat Plugin Güvenlik Sorunu
İlgili Konu: http://old.seditiocms.com/sediti.....1887.html

Açıklama: Buda aynı DbTools gibi Admini kandırma işlemi ile yapılan bir şey her hangi bir açık teşkil etmiyor.

Bunların Dışında şuan bilinen bişey yok yada ben bilmiyorum.

SEDİTİO KULLANICILARI HİÇ BİR ŞEKİLDE ENDİŞE ETMESİN GÜVENLİK AÇIĞI YOKTUR SADECE ETRAFTA DEDİKODU YAPIP İNSANLARIN BEYNİNİ BULANDIRIYORLAR O KADAR HİÇ KİMSEYE İTİBAR ETMEYİNİZ BU KONULAR HAKKINDA.


Sormak istedikleriniz veya bilmemiz gerekenler varsa lütfen yazınız.
Konuyla İlgili Diğer Başlıklar
Bilgilendirme.
Plugins Editör New Seditio 171
Seditio 171 Geliştirmesi.
Seditio
Seditio Eklenti Nasıl Kurulur Video
Emlak, Oto Galeri, Rent A Car, Şiir, Edebiyat Script Siparişlerinizi Verebilirsiniz.
Detaylar İçin: kaan@ntka.org

Seditio 170 İndir
Capte Müzik İndir
Seditio Toolbar İndir

 

Seditio Sql Injection Hakkında Bilgilendirme
2012-04-13 21:46 GMT  Çoklu Alıntı
M4ster
Seditio
User is: Online status   Gender_M
Posts: 86
Ülke: İzmir - 35
Meslek: CodeR
Age: 35

Kaana katılıyorum endişe edilecek pek birşey yoktur !
Güvenlik danışmanı Seditio & Cotonti Manager

 

Seditio Sql Injection Hakkında Bilgilendirme
2012-04-21 10:54 GMT  Çoklu Alıntı
Aragorn-pc

User is: Online status   Gender_M
Posts: 163
Ülke: Kayseri - 38
Meslek: Kanserle Savaşıyor..
Age: 36

Seditio 'da Sql injection demek seditio yok demek biz sedi saten sql ile çaliştiriyoruz illaki olur böyle şeyler ama her arka kapının bir kilidi vardır arkadaşlar..
Reklama Gerek Yok

Eskiler Tanır, Yeniler Örnek ALır !


Alayına İSYAN !


Az Bir Zamanda Dev Projeler ile Yayın Hayatında ! Sabrediyorum..

 

Seditio Sql Injection Hakkında Bilgilendirme
2012-04-21 13:56 GMT  Çoklu Alıntı
bilgicep
Seditio
User is: Online status   Gender_M
Posts: 26
Ülke: --- - 00
Meslek:
Age: 34

Alıntı
#7242 Aragorn-pc :
Seditio 'da Sql injection demek seditio yok demek biz sedi saten sql ile çaliştiriyoruz illaki olur böyle şeyler ama her arka kapının bir kilidi vardır arkadaşlar..



ne alaka şimdi vb smf wp de sql sorgusuyla çalışıyor

 

Seditio Sql Injection Hakkında Bilgilendirme
2012-04-21 14:00 GMT  Çoklu Alıntı
Aragorn-pc

User is: Online status   Gender_M
Posts: 163
Ülke: Kayseri - 38
Meslek: Kanserle Savaşıyor..
Age: 36

Alıntı
#7243 bilgicep :
Alıntı
#7242 Aragorn-pc :
Seditio 'da Sql injection demek seditio yok demek biz sedi saten sql ile çaliştiriyoruz illaki olur böyle şeyler ama her arka kapının bir kilidi vardır arkadaşlar..



ne alaka şimdi vb smf wp de sql sorgusuyla çalışıyor



Seditio Destek Yerinde Olduğumuz İçin Bütün Scriptleri Sayma Gereği Duymadım
Reklama Gerek Yok

Eskiler Tanır, Yeniler Örnek ALır !


Alayına İSYAN !


Az Bir Zamanda Dev Projeler ile Yayın Hayatında ! Sabrediyorum..

 

Powered by Seditio © 2009-2012 All Rights Reserved