- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сегодня обнаружилось. Прилепляют в штатный аппенд к основному коду баннера. Причём уже в MySQL базе. Похоже, что в коде уязвимость к SQL инъекции, так как файло вообще не тронуто. Ну, окромя OpenX кэша, естессно.
Официально всё тихо. Ю хэв юз актуал вершен и бла-бла-бла.
Разбираться не стал, rm -rf.
Давно хотел эту пургу снести, да всё лениво было самому писать...
Видимо эта дыра... Надо на своих сайтах проверить =)
Х.з., но неприятно, что оф не чешутся...
Skom, кто не закрыл админку паролем - тот лох.
это любого продукта касается. большинство программистов когда пишут админскую часть обычно рассуждают так " а че, этот код все равно только админ может запустить".
netwind, Вот этот дурной вброс я не вкурил...
Причём тут админка?
У меня админка вообще закрыта по IP.
ну если верить товарищу
Видимо эта дыра... Надо на своих сайтах проверить =)
то там дыра в админской части скрипта.
Даже если внимательно читать сей линк, то там явно сказано про дыру в MySQL.
Вернее, как я уже в старте сказал, уязвимость кода для инъекции.
А никак не в админской части...
Skom, а где ж еще находится скрипт http://test.com/www/admin/updates-history.php ?
в админской части
netwind, Вы вообще, в теме, о чём речь идёт?
Или так, чисто интуитивно пургу несёте?
Я сейчас посмотрел на эту "дыру" : действительно, есть sql injection в админской части скрипта, но туда можно попасть только залогинившись в сам openx админом.
Логин партнера или менеджера по рекламе не даст выполнять такие задачи.
собственно код который не дает это делать выглядит так
// Security
check
OA_Permission::enforceAccount(OA_ACCOUNT_ADMIN);
так что, как обычно, пук в лужу. Подавляющее число самописа содержит такие "дыры" в админской части, но никто их не ломает.
Ещё раз повторю - вся админская часть закрыта по IP.
Значит есть =>SQL дырка.