Все для Dle: Модули, Хаки, Шаблоны.

Уязвимости и различные баги в dle и как их править

Чужой компьютер Зарегистрироваться | Востановить пароль

DATALIFE ENGINE

НАШ ФОРУМ

ПРОЧЕЕ

У НАС НАШЛИ

парсер торрентов для dle
не правильное отображение цифрового рейтинга dle
модуль для дле гороскопы
DLE тему
my-dle.ru
my-dle.ru
xuk.ru
kino shablon dle 9.5
Порно шаблоны dle
иконки для доски объявлений
psd макет хостинг компании
dle шаблон магазин
sp-86.ru
шаблоны для кино сайтов
шаблоны для dle игры games
dle защита от ботов
dle парсер kinopoisk
5 последних новостей с картинкой dle
dle 9.5 защита от спама
шаблоны dle городской портал
GudGirls
сборки dle 9.5
скрипт онлайн поддержки на сайт
redtude
конструктор форм обратной связи dle 9.5
смайлы для dle
кнопка подробнее
редтуб ком
у нас нашли для дле
смайлы
шаблоны gta sa для dle
движок для сайт знакомств
шаблон steam магазина
шаблон магазин steam
ДЛЕ модуль добавления комментария
социальныя сеть dle
"доска объявления" dle
Повышение тИЦ v.2.0 Руководство от Веброка
как убрать копирайт dle 9.5
phpbb3 логотип
бесплатные модули выпадающего меню дле 9.5
DLE 9 защита от спама в поле подпись
иконки содержание
киношаблон dle 9.5
хинт для dle
модуль стол заказа для DLE 9.5
одобрение друзей v1.3 и удаление сообщений для "мо...

НАША КНОПКА

Мы были бы очень признательны, если бы вы установили на своём сайте нашу кнопку или текстовую ссылку на наш сайт.

Неофициальный сайт Datalife Engine

Взлом любого сайта с модулем Облако тегов для DLE

Автор: Aizek Дата

13 марта 2010

Категория: Баги

Взлом любого сайта с модулем Облако тегов для DLE

Вот и прило время закрывать дырку пользователям DLE всех версий, кто использует модуль Облако тегов для DLE (ССЫЛКА).
(дырка проуколена на сайтах от 7.5 до 8.3, на более ранние версии не натыкался)
Простым запросом, в любом браузере - делаем укольчик или что покруче и сайт наш... =)

Итак приступим:
У нас два варианта: 1)Первый, по HTML 2)через XSS.
Да, дырка настолько большая что и простой html отрабатывает так как нам нужно.

вход на сайт XSS:

Внимание! У вас нет прав для просмотра скрытого текста.

вход на сайт простым HTML :

Внимание! У вас нет прав для просмотра скрытого текста.

Вывод: Чем больше украшательств на сайте, тем больше дырок.

Если у Вас возникли вопросы по поводу

"Взлом любого сайта с модулем Облако тегов для DLE"

, задайте их на форуме:

Для обсуждения на форуме нужно зарегистрироваться

Своё Спасибо, еще не выражали.

В заметки: В Мой Мир

Ключевые теги: Взлом, любого, сайта, модулем, Облако, тегов, для, DLE

Если вам понравилась новость

"Взлом любого сайта с модулем Облако тегов для DLE"

, не пропустите:

Вернуться Распечатать Комментарии: 10 к Взлом любого сайта с модулем Облако тегов для DLE

Рейтинг:

Dracula_666

13 марта 2010, 22:46

(3|0)

Я немного не понял что это такое? Как защитить свой сайт или что? У меня DLE 8.3

Зарегился: 13.02.2010 Публикаций: 3 Комментов: 99 ICQ: 389274245

kinoxi

14 марта 2010, 12:20

(0|0)

никак это не работает, это присто реклама другова сайте

Зарегился: 5.02.2010 Публикаций: 0 Комментов: 8 ICQ: --

xaknem

14 марта 2010, 18:28

(1|0)

Получается вот что: PHPSESSID=efbe22804d48bbb254b66f4c41e7583к И что с этим делать дальше???

Зарегился: 27.02.2010 Публикаций: 0 Комментов: 4 ICQ: --

voshod1075

15 марта 2010, 01:34

(2|-2)

У кого ещё какие мысли?

Зарегился: 5.02.2010 Публикаций: 13 Комментов: 46 ICQ: 361664320

Aizek

16 марта 2010, 01:43

(30|1)

xaknem,
voshod1075,

так вам сразу и сказали как сайти ломать.

--------------------

Рипы, Адаптации, PSD-Макеты.

Зарегился: 8.01.2010 Публикаций: 760 Комментов: 288 ICQ: 592935761

recurring dream

21 марта 2010, 15:01

(1|0)

etot samiy vidavaemiy kod yavlaetsa md5

Зарегился: 21.03.2010 Публикаций: 0 Комментов: 41 ICQ: --

Diren

25 марта 2010, 13:13

(3|0)

Пути решения проблемы:

Вариант от -=BlackSmoke=- :

заинглудь в файл класс парсинга входящих данных(parse.class.php) и с помощью него сделай фильтрацию. Что-то типа
<code>
$tags = $db->safesql( htmlspecialchars( strip_tags( stripslashes( trim( $_GET['tagcloud'] ) ) ), ENT_QUOTES ) );
</code>

Топорный метод от xex:

а еще можно и нужно в настройках админки иметь такой расклад:
Метод авторизации в админпанели = Расширенный метод
+ для надежности и большей параноидальности
Контроль изменения IP адреса = Высокий уровень
Сбрасывать ключ авторизации при каждом входе? = Да

(ну и надеюсь админка не admin.php называется + я себе даже в .htaccess админку разрешил только с одного ИП )

и кража кук будет бесполезна

-----------------------