:: vBspiders Professional Network ::

:: vBspiders Professional Network :: (http://www.vbspiders.com/vb/index.php)
-   حمـــاية السيــرفرات والمواقـــع (http://www.vbspiders.com/vb/forumdisplay.php?f=138)
-   -   [هام] لمن يستخدم سكربت المجلة السهلة [ SQL Injection ] (http://www.vbspiders.com/vb/showthread.php?t=60152)

Dr.NaNo 01-01-2012 11:01 PM
[هام] لمن يستخدم سكربت المجلة السهلة [ SQL Injection ]
 
بسم الله الرحمن الرحيم
السلام عليكم ورحمه الله وبركاته.

اريد ان انبه الاخوة الكرام لمن يستخدم في موقع سكربت المجلة السهلة وهذا موقع السكربت :
http://www.diy-cms.com/

 بانا السكربت مصاب بثغرة SQL Injection


كود:
mod.php?mod=blog&modfile=tags&tag=features&start=[sqli]

mod.php?mod=blog&start=[sqli]

mod.php?mod=blog&modfile=archive&month=[sqli]

mod.php?mod=blog&modfile=archive&month=8&year=[sqli]

mod.php?mod=blog&modfile=list&catid=4&start=[sqli]

mod.php?mod=blog&modfile=archive&month=8&year=2&st  art=[sqli]

mod.php?mod=blog&modfile=viewpost&blogid=26&start=[sqli]


 Why?:
 
  The variables $start, $year, $month are not filtered
 
  In file: /modules/blog/tags.php , list.php , index.php ,
main_index.php , viewpost.php
 
        $start =(!isset($_GET['start'])) ? '0' : $_GET['start'];
 
  In file: /modules/blog/archive.php
 
    $start =(!isset($_GET['start'])) ? '0' : $_GET['start'];
    $month =(!isset($_GET['month'])) ?
error_msg($lang['ARCHIVE_NO_MONTH_SPECIFIED']) : $_GET['month'];
    $year =(!isset($_GET['year'])) ?
error_msg($lang['ARCHIVE_NO_YEAR_SPECIFIED']) : $_GET['year'];
 
  In file: /modules/blog/control/approve_comments.php ,
approve_posts.php , viewcat.php
 
        $start =(!isset($_GET['start'])) ? '0' : $_GET['start'];
بالتوفيق.
Dr.NaNo

Dr.NaNo 01-01-2012 11:04 PM
رد: [هام] لمن يستخدم سكربت المجلة السهلة [ SQL Injection ]
 
ولقد تم أبلاغ صاحب السكربت في موقعه

Cyber Code 01-01-2012 11:08 PM
رد: [هام] لمن يستخدم سكربت المجلة السهلة [ SQL Injection ]
 
جزاك الله خير وجعله في ميزان حسناتك

vpn_31 01-01-2012 11:37 PM
رد: [هام] لمن يستخدم سكربت المجلة السهلة [ SQL Injection ]
 
ألله يبارك فيك لم تقصر :)

ReD-HaT 01-02-2012 01:39 AM
رد: [هام] لمن يستخدم سكربت المجلة السهلة [ SQL Injection ]
 
بارك الله فيك ..

x-men 01-02-2012 09:52 AM
رد: [هام] لمن يستخدم سكربت المجلة السهلة [ SQL Injection ]
 
بارك الله فيك مشرفنا الغالي على المجهود


الساعة الآن 07:48 AM


[ vBspiders.Com Network ]