Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Уязвимость в DLE10

Уязвимость в DLE10

     13.09.2013    Все вопросы » Общие вопросы    10618

вопрос
Вобщем один чел ставит редирект на сайтах. Как он это делает никто не знает. По слухам он использует дыру в DLE. Прилогаю скриншот. Я ради интереса нашел этого чела и попросил его продемонстрировать это на своём сайте. Он сделал тоже самое. Как этот баг устранить?

Уязвимость в DLE10

Ответил: izasov

Здравствуйте,
Первое что могу сказать сайт на dle может взломать даже школьник особых усилий не надо (думаю в вашем случае было подобное). Объясню причину , почему и как взломать.
1 способ это можно сделать запрос в бд через яву (облако тегов).
2 способ, в шаблонах дле недостаточная фильтрация данных можно сделать sql инъекцию.
3 способ вырубить сервер и связаться с базой данных ну и раскодировать md5 пароль админа ну а дальше пошло поехало.
С уважением разработчик (точнее один из разработчиков движка). Если что обращайтесь я всегда тут с 13:00 до 18:00. Эти дыры в дле можно закрыть кто хочет обращайтесь просто писать много не хочу тут.

4 комментария

Exile
Гости

Exile - 13 сентября 2013 18:45 -

Лучше разработчиков об уязвимостях никто не знает.
А пока можем только мониторить узвимости DLE, юзать AntiShell и делать бекапы.
MAPKOBKA
Юзер

MAPKOBKA - 13 сентября 2013 19:55 -

Движок в примере нулленый. Там этих дыр могут понатыкать сколько угодно.
dj-avtosh
PHP-developer

dj-avtosh - 14 сентября 2013 04:27 -

если движок чистый, я могу посмотреть какой файл он правил и что доливал))
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
Exile
Гости

Exile - 14 сентября 2013 11:13 -

Кстати, ТС. Поставьте на сайт AntiShell. Натравите на сайт этого кулхацкера и дайте файлы, которые он изменил на проверку dj-avtosh. Так вполне реально можно вычислить этот шелл.
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 07.10.2012 Webster  Общие вопросы
 31.12.2012 Гость  Общие вопросы
 16.09.2013 evanstone  Общие вопросы, Хаки
 12.10.2013 vlits  Общие вопросы
 13.11.2013 vinetropix  Общие вопросы
 30.05.2014 Бахмут  Общие вопросы
 18.06.2014 Е.Хрущёв  Общие вопросы
 28.07.2014 Kroys  Общие вопросы, Общие вопросы по PHP, MySQL
 02.08.2014 Laidman  Общие вопросы
 02.08.2014 timurtt  Общие вопросы, Общие вопросы по PHP, Ламерские вопросы
  • TeraMoune | Как отключить миниатюры стандартной гале ...
    Фото TeraMoune
    TeraMoune
    Как отключить миниатюры стандартной галереи Fancybox?
    Сегодня, 06:00
    В файле engine/classes/fancybox/fancybox.js искать нужную инициализацию и добавлять соответствующие параметры, весь список параметров и их описание можно найти на этой странице https://fancyapps.com/fancybox/api/options/

    Например: параметр Thumbs: false отключает миниатюры.
    Fancybox.bind("[data-highslide]", {
	groupAttr: 'data-highslide',
	idle:2000,
	Thumbs: false,
	caption: (fancybox, slide) => {
		if(  slide.thumbEl && slide.thumbEl.alt ) {
			return slide.thumbEl.alt
		}
	}
});
  • derebas | Как реализовать шифрование трафика? 3
    Фото derebas
    derebas
    Как реализовать шифрование трафика?
    18-11-2024, 16:52
    Ну в теории, можно использовать src на site.com разместить прокси на site2.com а выдавать видео с site3.com, при этом прямой доступ на site3.com закрыть, отдача будет только если запрос с site2.com, таким образом палится только site2.com, НО источник потокового видео, все равно можно увидеть если захотеть, а ссылки, ну купить домен dsac-43efew-csdds.uz как пример
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:46
    я уже делал. Пользователь 1000 (это я так понимаю root) и chmod 777
    Так и было...
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:39
    чтоб не удалять выстави права и пользователя какие там идут на файлы. .
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:37
    т.е. мне снести всё, что я уже загрузил как root, зайти под юзером и закачать снова?
    Видосы в директории upload можно хоть оставить? их там 80 Гб
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:17
    фтп обычный юзер а не root
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:15
    дэк только так и загружаю
  • Gordi | Как реализовать шифрование трафика? 3
    Фото Gordi
    Gordi
    Как реализовать шифрование трафика?
    18-11-2024, 14:14
    я тоже не понимаю....товарищ один, представитель хостинга сказал, что даже есть модули такие специальные под популярные цмс
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:13
    Gordi,
    через фтп загружай
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:11
    Привет Николай!
    Всегда загружал от root... посмотришь может? твой плагин тоже не виден ((
    или направь на путь истинный, пжст
Информация по ссылке http://www.dosugkrsk.com.
наверх