Вопрос Дыра в булке

Dikiy_J · 23.06.2014, 21:55 **Вверх**

Доброй ночи , Вообщем нашёл дырку в vbulliten 4.2.2 , а как исправить не знаю

Никто не поможет ?
Вот сам код

Код:

site.ru/login.php?do=login^vb_login_username=WCRTESTINPUT000000&vb_login_password=WCRTESTINPUT000001&vb_login_password_hint=WCRTESTINPUT000002&securitytoken=guest&do=login&vb_login_md5password=&vb_login_md5password_utf=&referer=

Luvilla · 24.06.2014, 00:33 **Вверх**

Сообщение от islam7450

Вообщем нашёл дырку в vbulliten 4.2.2

подробности?
откуда код?

eastVi · 24.06.2014, 05:36 **Вверх**

получается проплешина может выдать любому пользователю ресурса, любой login and pass ?

Dikiy_J · 24.06.2014, 12:06 **Вверх**

Сообщение от Luvilla

подробности?
откуда код?

Это из скана

Добавлено через 44 секунды

Сообщение от eastVi

получается проплешина может выдать любому пользователю ресурса, любой login and pass ?

Luvilla · 24.06.2014, 13:00 **Вверх**

Сообщение от islam7450

Это из скана

из какого "скана"?

Dikiy_J · 24.06.2014, 13:40 **Вверх**

Сообщение от Luvilla

из какого "скана"?

webcruiser

Luvilla · 24.06.2014, 15:02 **Вверх**

Сообщение от islam7450

webcruiser

и что?

Dikiy_J · 24.06.2014, 15:55 **Вверх**

Сообщение от Luvilla

и что?

Пиши что угроза

Luvilla · 24.06.2014, 16:58 **Вверх**

Сообщение от islam7450

Пиши что угроза

видимо, "пишет"
ну и что?

Dikiy_J · 24.06.2014, 18:15 **Вверх**

Сообщение от Luvilla

видимо, "пишет"
ну и что?

Как залотать ?

RASHER · 24.06.2014, 19:38 **Вверх**

Сообщение от islam7450

Доброй ночи , Вообщем нашёл дырку в vbulliten 4.2.2 , а как исправить не знаю

Никто не поможет ?
Вот сам код

Код:

site.ru/login.php?do=login^vb_login_username=WCRTESTINPUT000000&vb_login_password=WCRTESTINPUT000001&vb_login_password_hint=WCRTESTINPUT000002&securitytoken=guest&do=login&vb_login_md5password=&vb_login_md5password_utf=&referer=

Пробовал применять на деле этот код ? По-моему херня это всё...

grisha2217 · 24.06.2014, 21:56 **Вверх**

Моё мнение:
Это код для авторизации в аккаунт, не более. Просто подставляете данные и входите.

Luvilla · 24.06.2014, 22:24 **Вверх**

Сообщение от RASHER

По-моему херня это всё...

Сообщение от grisha2217

не более.

мужики, не палите контору

Сообщение от islam7450

Как залотать ?

гораздо интереснее другой вопрос: как это можно использовать?
если будет алгоритм использования - можно будет о чём-то думать...

Dikiy_J · 25.06.2014, 06:32 **Вверх**

[QUOTE=Luvilla;368889]мужики, не палите контору

Вы смотрите , какой остроумный

RASHER · 25.06.2014, 08:59 **Вверх**

Сообщение от islam7450

Вы смотрите , какой остроумный

Это она, как бы. "Льювилла", замечательный человек кстати)

Dikiy_J · 25.06.2014, 10:18 **Вверх**

Сообщение от RASHER

Это она, как бы. "Льювилла", замечательный человек кстати)

Luvilla · 25.06.2014, 14:27 **Вверх**

Сообщение от RASHER

замечательный человек кстати)

спасибо) господин islam7450 в курсе, это ж я его забанила на саппорте.. или нет? ))

islam7450, так что там насчёт использования этой "дыры"?

Dikiy_J · 25.06.2014, 17:40 **Вверх**

Сообщение от Luvilla

спасибо) господин islam7450 в курсе, это ж я его забанила на саппорте.. или нет? ))

islam7450, так что там насчёт использования этой "дыры"?

есть sqli
и rce
а ещё 2 xss
пассивных

Luvilla · 25.06.2014, 21:29 **Вверх**

Сообщение от islam7450

есть sqli
и rce
а ещё 2 xss
пассивных

ну всё... всё сломалось...
удалите форум, пока хакеры не влезли...)))

islam7450, это - пустые слова
Кому небезразлична безопасность, те сидят на тройке
кому захотелось экстрима с 4кой, тот должен как минимум уметь нормально задать вопрос, чтобы получить ответ

а этим

Сообщение от islam7450

есть sqli

в наше время разве что истеричных восьмиклассниц пугать...

Есть образец запроса? конкретный образец конкретного запроса? если есть - скинь мне в ЛС, и если это действительно серьёзно, будет решение

Нет запроса - нет решения