форум общения русскоязычных пользователей CMS Текстпаттерн
Вы не зашли.
Отписал Mary
Кто-нибудь пробовал этот хак в действии?
Неактивен
там описывается ТхП версии 4.0.3
фиговая новость.
придется апгрейдить все сборки :-(
одно утешает - что против деструктивных действий с помощью такого эксплоита есть лекарство
Отредактированно Evgeny (02-02-2008 19:55:17)
Неактивен
the_ghost написал:
Отписал Mary
Кто-нибудь пробовал этот хак в действии?
Пытался понять, как он работает. Не понял, как он до БД дотягивается (уязвимость, видимо, в этом и есть)
Отредактированно glebotr (02-02-2008 20:07:34)
Неактивен
Evgeny написал:
там описывается ТхП версии 4.0.3
фиговая новость.
придется апгрейдить все сборки :-(
одно утешает - что против деструктивных действий с помощью такого эксплоита есть лекарство
Давно пора Скоро выйдет 4.0.6 - и можно будет все сборки обновить. И, даже, может быть, расширить дизайновые наборы
Неактивен
the_ghost написал:
Отписал Mary
Mary в основном оформительскими вопросами админки занимается. По вопросам безопасности - это надо, пожалуй ruud -у писать
Неактивен
Ну хз - на прошлое письмо она ответила... Может стоит повторить :\
Неактивен
Еще информация
http://www.securitylab.ru/vulnerability/312707.php
Отредактированно bons (07-02-2008 03:23:49)
Неактивен
Пробовал на разных страничках, по разному и с правильным преффиксом... может я не умею не получилось ничего
Неактивен
bons написал:
Еще информация
Фиговая известность :-(
Olx_tp написал:
не получилось ничего
это радует :-)
Неактивен
Прочитайте последнее сообщение в той же теме на античате от 31.10.2010, 23:14.
Именно этот юзер ломанул таким образом мой сайт и теперь может зайти под логином любого пользователя в админку.
Неактивен
Gerich написал:
Прочитайте последнее сообщение в той же теме на античате от 31.10.2010, 23:14.
Именно этот юзер ломанул таким образом мой сайт и теперь может зайти под логином любого пользователя в админку.
Ты по поводу
Пассивная XSS в Textpattern 4.2.0
?
Перемести админку в директорию с названием примерно таким как пароль генерируется ) и запрети скачивать php файлы. Должно помочь.
Вообще насколько я понял админку показывать вредно очень.
Неактивен