Zum Inhalt springen

Frage Webdesign


Gast Caramia
 Teilen

Empfohlene Beiträge

was ich so auf die schnelle im netz finden koennte, sieht schon echt boese aus. auch wenn du damit vielleicht nicht zwingend was anfangen kannst poste ich es trotzdem.

als tip von mir.. schau dir mal Joomla an. ehemals mambo. damit wirst du sicher auch was anfangen koennen.

koba

Recommendation:

With the aforementioned lack in vendor reaction, we currently recommend

avoiding usage of PHPKIT altogether.

If you already use the product, we recommend installing the Hardening-Patch

for PHP which can be obtained on our website, and deactivating the

"register_globals" setting in php.ini, virtual host configuration or

.htaccess.

References:

[1] http://www.phpkit.de/

[2] http://www.google.com/search?q=%22powered+by+PHPKIT%22

Plug:

You can discuss this and other vulnerabilities in our forum at

http://forum.hardened-php.net/ - an up-to-date list of advisories can be

found at http://www.hardened-php.net/.

 SQL Injection and PHP Code Injection Vulnerabilities in PHPKit 1.6.1

Version: PHPKit 1.6.1
Risk: High if magic_quotes_gpc = Off
URL: http://www.phpkit.com

***************************************************************************

SQL Injection in include.php?path=login/member.php

The parameters usernick and letters are vulnerable to SQL Injections.
POC:
/phpkit/include.php?path=login/member.php&letter=phuket'%20AND%20MID(user_pw,1,1)='8'/*

This will show the user "phuket" if the first character of his password
hash is '8'.

SQL Injection in include.php?path=login/imcenter.php

The parameter im_receiver is vulnerable to SQL Injections.
POC: im_receiver=phuket' AND MID(user_pw,1,1)='8'/*

This will print an error message like "Der von Ihnen angegebene
Empfänger konnte nicht gefunden werden. Überprüfen Sie bitte Ihre Eingabe!"
If the first character of the password hash is not '8'.


PHP Code Injection in admin/admin.php?path=images.php

It is possible to upload .php files to the content/images/ directory.
Of course you need a legal admin pass first.



Exploit code exists but I will not make it available to the public at
this time.

*******************************************************************************

Solution:
Turn magic_quotes on

Link zu diesem Kommentar
Auf anderen Seiten teilen

Oje, da ist mir zuviel Fachenglisch dabei hehe.

Hat wer einen Tipp für ein gutes FTP-Programm (kostenlos oder Demo)? Dann kann ich mal ein Backup von meiner Seite ziehen und den Patch aufspielen.

Mein WS_FTP bricht immer ab :(

Link zu diesem Kommentar
Auf anderen Seiten teilen

Deine Meinung

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Benutzerkonto hast, melde Dich bitte an, um mit Deinem Konto zu schreiben.

Guest
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

  • Vorschau
 Teilen

×
×
  • Neu erstellen...

Wichtige Information

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.