Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection

[es] :: Advocacy :: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection

Strane: 1 2

[ Pregleda: 8106 | Odgovora: 20 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

xxxrugby

Član broj: 16068
Poruke: 653
*.ericsson.net.

Sajt: www.zagreb-rugby.hr


Profil

icon phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection07.07.2005. u 19:51 - pre 212 meseci
Code:
Description: An input validation vulnerability was reported in the phpBB Notes Mod. A remote user can inject SQL commands.

The 'posting_notes.php' does not properly validate user-supplied input in the 'post_id' parameter. A remote user can supply a specially crafted parameter value to execute SQL commands on the underlying database.

A demonstration exploit URL is provided:
http://[target]/posting_notes.php?mode=editpost &p=-99%20UNION%20SELECT%200,0, username,0,0,0,0,0,0%20FROM%20orionphpbb_users%20WHERE%20user_id=2/*

The 'editpost' function and other functions are affected.

James Bercegay of the GulfTech Security Research Team reported this vulnerability.

Impact: A remote user can execute SQL commands on the underlying database.

Solution: No solution was available at the time of this entry.

xxxrugby: "We are all philosophers, when question is about politics!"
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection07.07.2005. u 20:17 - pre 212 meseci
PHP.......how typical :P

Ta popularna extenzija HTML-a kvaziobjektnih mogućnosti i katastrofalnih performansi je magnet za sve moguće i nemoguće klase bugova....

PHP suxa više nego win9x i linux kernel skupa.
 
Odgovor na temu

MladenIsakovic
Mladen Isaković
Šabac

Član broj: 58620
Poruke: 333
*.smin.sezampro.yu.

Jabber: mladjai@elitesecurity.org
ICQ: 162720715
Sajt: www.slackware-srbija.org


+1 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection07.07.2005. u 20:22 - pre 212 meseci
@xxxrugby

Alo majstore,
jel' to poruka sa onog MS Linuxa što si ga skinuo prošle nedelje?
 
Odgovor na temu

axez

Član broj: 1021
Poruke: 1388
*.pat-pool.nsad.sbb.co.yu.



Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection07.07.2005. u 20:57 - pre 212 meseci
Jbote....sto ovakve teme ne idu u security ili nesto slicno??????
 
Odgovor na temu

s!c

Član broj: 42417
Poruke: 406
*.cmu.carnet.hr.



+1 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection07.07.2005. u 21:17 - pre 212 meseci
Citat:

PHP suxa više nego win9x i linux kernel skupa.



A što bi ti onda mogao predložiti kao zamjenu za php (ili ako tebi više odgovara, čemu je php bio alternativa)?



[Ovu poruku je menjao s!c dana 07.07.2005. u 22:20 GMT+1]
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection07.07.2005. u 21:44 - pre 212 meseci
ASP.NET ofcoz.

Brži, bolji, sigurniji.....

Jednostavno više nema izlika!

A evo ga i na ljinuxu:

http://dev.mainsoft.com/Default.aspx?tabid=45
 
Odgovor na temu

s!c

Član broj: 42417
Poruke: 406
*.cmu.carnet.hr.



+1 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection07.07.2005. u 21:58 - pre 212 meseci
A sada da pitam ovako - što je bolje prvo naučiti, php ili asp? I što je, u neku ruku lakše? Kao neku mjeru, uzmi mene koji sam lamer-totaly-neiskusan sa web proganjem!
 
Odgovor na temu

byM4k5

Član broj: 22363
Poruke: 428
*.dialup.blic.net.



Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection08.07.2005. u 01:08 - pre 212 meseci
Nikako ASP, jer je star! :>

A ova rupa, pa taj mod se ne nalazi na phpBB-ovom sajtu, tako da je to veoma neprovjereno...
 
Odgovor na temu

axez

Član broj: 1021
Poruke: 1388
*.pat-pool.nsad.sbb.co.yu.



Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection08.07.2005. u 15:24 - pre 211 meseci
Citat:
s!c: A što bi ti onda mogao predložiti kao zamjenu za php (ili ako tebi više odgovara, čemu je php bio alternativa)?



Niposto ASP, ASP.Net...niposto microsoft.....zaglibis li se u microsoft onda si bas zaglibljen do grla u govnima...pogotovo kad je Web u pitanju...:)
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection08.07.2005. u 21:54 - pre 211 meseci
Citat:
axez: Niposto ASP, ASP.Net...niposto microsoft.....


Zadnji put kad sam ja gledao, mogao si ASP.NET sajtove hostat i na ljinuxu.

Ako ti treba free hosting, probaj ovo:

http://monoforge.com/index.html

[Ovu poruku je menjao Sundance dana 08.07.2005. u 22:54 GMT+1]
 
Odgovor na temu

degojs

Član broj: 4716
Poruke: 5096



+51 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection14.07.2005. u 21:02 - pre 211 meseci
Hehehe, kad i pokusa nesto sa tehnicke strane, ispadne da opet pojma nema.

Axez, tebi najbolje ide ono: "MS sux", "BSOD".. - kratko, glupo i uporno :)
Commercial-Free !!!
 
Odgovor na temu

axez

Član broj: 1021
Poruke: 1388
*.pat-pool.nsad.sbb.co.yu.



Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 09:57 - pre 211 meseci
Citat:
degojs: Axez, tebi najbolje ide ono: "MS sux", "BSOD".. - kratko, glupo i uporno :)



Da naravno...zato sto to vas najvise nervira.
Ne zaboravi jos 80.000 virusa, spyware da ne pominjem......jebo OS na kome je najrasprostanjeniji softver malware.

[Ovu poruku je menjao axez dana 15.07.2005. u 11:00 GMT+1]

[Ovu poruku je menjao axez dana 15.07.2005. u 11:00 GMT+1]
 
Odgovor na temu

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 1011
*.bg.wifi.vline.verat.net.

ICQ: 6072593


+49 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 13:32 - pre 211 meseci
ma ne ne dobar je softwer, cik probaj sa xpom da bez firewalla i antivirusa malo protrchis kroz MP3-XXX sajtove...


samo probaj, evo odradicu jednu suhu instalaciju i probati jedno 5-6 minuta da surfujem (naravno posle instaliranog smarackog sp2) po iks i em pe tri sajtovima
pa da vidim za koliko vremena ce da se pojave razni GAIN,BUDDY,MEDIAACK i ostali exe smaraci, a da ne pricam o uletanju raznih search-era,porno guide-a,enlarge your penis-ea i slicno u vas toliko hvaljen IE. e da, najbitnije, posle svega toga moram da prelistam registry, da vidim sta ce da se autoexec-uje pri rebootu windowsa....

opet podvlacim, BEZ antivirusa i BEZ firewalla

i NECU da proveravam mail outlookom, ne daj boze... tek to bi bilo pristrasno odmah

[Ovu poruku je menjao xtraya dana 15.07.2005. u 14:33 GMT+1]
Hmmm , na VIP-u 3G preko iphone-a 2,6 Mbps DL i 1,4 UP ...
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16292
*.dip.t-dialin.net.



+7110 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 13:46 - pre 211 meseci
Citat:

i NECU da proveravam mail outlookom, ne daj boze... tek to bi bilo pristrasno odmah


Vidi ovaj... na mom outlooku stoji oko 18000 inbox mailova od Jula 2000 do danas. Ova masina nema anti virus.

Najobicnije podesavanje sistema tako da korisnici rade kao restricted-useri, i podesavanje zona u browserima cine sistem daleko sigurnijim.

A ovo gore je sasvim normalna stvar u Linux svetu. Hvala bogu da ce i u Longhornu to postati i default ponasanje i za windows.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Palma
Srđan Stević
sysadmin
Beograd

Član broj: 2773
Poruke: 741

ICQ: 244467577


+2 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 13:50 - pre 211 meseci

He he, Vladanko, Vladanko, crni sine...

Da si bar malo proučio materiju (ili makar instalirao taj "smarački SP2") znao bi da je firewall po default-u aktivan.


This time next year we will be millionaires
- Dell Boy -
 
Odgovor na temu

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 1011
*.bg.wifi.vline.verat.net.

ICQ: 6072593


+49 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 14:07 - pre 211 meseci
cekaj, ja NECU da upalim firewall, da li me razumes? NECU....

naravno da je default on u sp2, uostalom i u sp1 taj fw radi posao , samo sto nije ubacen u control panel nego moras po konekciji da brljas da bi namestio,
Hmmm , na VIP-u 3G preko iphone-a 2,6 Mbps DL i 1,4 UP ...
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16292
*.dip.t-dialin.net.



+7110 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 19:14 - pre 211 meseci
Citat:

cekaj, ja NECU da upalim firewall, da li me razumes? NECU....

naravno da je default on u sp2, uostalom i u sp1 taj fw radi posao , samo sto nije ubacen u control panel nego moras po konekciji da brljas da bi namestio,


Radi posao i u w2k zapravo ;-)

Ajde ovako... instaliras win, instaliras sp2... mozes i da iskljucis taj firewall ako bas hoces, ali pre toga nastimujes sledece stvari:

- Iskljucis sve guest naloge (ovo win radi po defaultu)

- Ukljucis auto-update

- Namestis da se useri loguju kao restricted-users, a admin nalog cuvas samo za podesavanje hardvera

- Obavezno procesljas security settings u browseru/maileru i namestis odgovarajuce zone i zabrane izvrsavanja executable fajlova, i sl...

- Instaliras samo legitimne aplikacije, znaci nikakvi crackovi i sl.

- Log-out, log-in as restricted user

I to je to... bices vrlo siguran i bez firewalla i antivirusa.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

dr ZiDoo
Banja Luka

Član broj: 189
Poruke: 1728
*.teleklik.net.

Jabber: ZiDoo@elitesecurity.org
ICQ: 299539598
Sajt: zidoo.geek.rs.ba


Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 19:15 - pre 211 meseci
Tako jako zelim da znam kakve veze PHP ima sa ovim bugom? To sto lik drito iz GET-a trpa u SQL query ...
tu nema kašike....
 
Odgovor na temu

Palma
Srđan Stević
sysadmin
Beograd

Član broj: 2773
Poruke: 741

ICQ: 244467577


+2 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 19:17 - pre 211 meseci
A ja isto tako jako želim da znam zašto si pozatvarao one teme tek tako.

//EDIT by me:

Firefox je g****.


[Ovu poruku je menjao Palma dana 15.07.2005. u 20:21 GMT+1]
This time next year we will be millionaires
- Dell Boy -
 
Odgovor na temu

degojs

Član broj: 4716
Poruke: 5096



+51 Profil

icon Re: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection15.07.2005. u 23:01 - pre 211 meseci
Citat:
cekaj, ja NECU da upalim firewall, da li me razumes? NECU....


Pa boli nas qrac što TI nećeš da uključiš firewall. Nemoj ni da zaključavaš auto i stan.. boli nas uvo.

Treba da se klikne par puta i uključi firewall, big deal. Možda je lakše promeniti OS, bilo koji da je u pitanju.. Možda je lakše odseliti se u pustinju nego zaključati vrata.. Možda..

A već ljudi lepo rekoše - Windows sad po difoltu ima isti uključen. A i taj SP2 je deo Windowsa, ima već skoro godinu dana.. Definitivno živite u srednjem veku.



[Ovu poruku je menjao degojs dana 16.07.2005. u 00:28 GMT+1]
Commercial-Free !!!
 
Odgovor na temu

[es] :: Advocacy :: phpBB Notes Mod Input Validation Hole in 'posting_notes.php' Permits SQL Injection

Strane: 1 2

[ Pregleda: 8106 | Odgovora: 20 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.