امنیت جوملا

4shir · Jan 3, 2008

خوب تا بحث داغه همينجا اعلام مي کنم باگ خطر ناکي در يکي از ماژول هاي 107 عصر پيدا کردم که واقعا جاي تعجب داره !!! و ميشه به سادگي کانفيگ رو ريد کرد

fazli · Jan 3, 2008

با سلام.
تو پیغام خصوصی مطرح کن... تا ببندیمش!!!!!!!!!!!!!!!!!!1

irlogo · Jan 4, 2008

4shir گفت:
خوب تا بحث داغه همينجا اعلام مي کنم باگ خطر ناکي در يکي از ماژول هاي 107 عصر پيدا کردم که واقعا جاي تعجب داره !!! و ميشه به سادگي کانفيگ رو ريد کرد

جالبه ممنون می شم برای من هم بفرستید !

4shir · Jan 4, 2008

متاسفانه اين کار رو نمي تونم انجام بدم !! چون خيلي از سايتها از اين ماژول استفاده مي کنن !! مشکل در وااقع در دو فايل هستش که امکان دايرکتوري تراورسال رو ميده و ديگري هم ميشه مسير فايل رو بهش داد تا فايل رو برات بخونه !!! مثلا c:\boot.ini
مشکل بعدي در خصوص حملات xss هست اگر طبق گفته دوستان سايت مادر حملات xss رو برطرف کرده و الان داره از نسخه 11 استفاده ميکنه بايد بگم بيخود کردن چون بالاي 10 تا xss‌ داره خواستيد نمونه xss ها رو مي زارم اما باگ رو نمي تونم اينجا بزارم به چند دليل اوليش مقررات مجيد انلاين هست ! دوميش اينکه دارم با سايت اصلي مکاتبه ميکنم که برطرف کنن مشکل رو بعد پابليک مي کنم

fazli · Jan 4, 2008

با سلام.
واقعا خوب کاری کردید. داریم باتیم برای رفعش میکوشیم.... جا داره از 4shir تشکر کنم که واقعا دارن زحمت میکشن!!!!

4shir · Jan 4, 2008

http://e107.org/e107_plugins/content/handlers/content_preset.php?
توي فيلد
'><script>alert(document.cookie)</script>
وارد کنيد اگر توي سايت لاگين کرده باشيد پيغام خوبي پيدا مي کنيد!!
7 تا ديگه مشابه اين هم هست !
+ باگ هايي که در برخي ماژول ها مثل گالري ها ،دايرکتوري هاي تلفن و ... وجود داره

fazli · Jan 4, 2008

با سلام.
واقعا گزارش جالبی بود! باگ مربوط به گالری تصاویر هست البته سطحهش اونقدر بالا نیست ولی خوب در هر صورت مهمه!!!
در رفعش میکوشیم!

4shir · Jan 5, 2008

fazli گفت:
با سلام.
واقعا گزارش جالبی بود! باگ مربوط به گالری تصاویر هست البته سطحهش اونقدر بالا نیست ولی خوب در هر صورت مهمه!!!
در رفعش میکوشیم!

سلام
گمونم يک تاپيک ديگه بزنيم بد نباشه !!
در مورد باگها فقط خواستم نشون بدم باگ همجا هست حتي توي سايت اصلي همين الان که دارم اين پيغام رو مينويسم بالاي 50 سايت مختلف رو دارم ريد مي کنم نمي دونم دوست عزيز خوندن فايل کانفيگ سطحش چقدر بالاست !!
$mySQLserver = 'localhost';
$mySQLuser = 'bayerncl_fc';
$mySQLpassword = '****';
$mySQLdefaultdb = 'bayerncl_fc';
$mySQLprefix = 'e107_';

mySQLserver = 'localhost';
$mySQLuser = 'u_yuliyatary';
$mySQLpassword = 'dp**Y';
$mySQLdefaultdb = 'yuliyataryanyk';
$mySQLprefix = 'julia';

mySQLserver = '127.0.0.1';
$mySQLuser = 'globalparty';
$mySQLpassword = 'ed**1';
$mySQLdefaultdb = 'globalparty';
$mySQLprefix = 'e107_';

و ....
متاسفانه سايت 107 هم جواب درستي ندادن !‌
اين تاپييک رو هم ديگه من ادامه نمي دم و در سايت اصلي خودش مشکلات سيستم رو مطرح و راههاي برطرف کردنشون رو توضيح مي دم
موفق باشيد
ساسان احمدي

irlogo · Jan 5, 2008

این یکی خیلی خفن بود
آقا جان حالا بگذریم در مورد جوملا هم باگ دارین؟
مرسی

arashonline · Jan 5, 2008

اگر بتونید یه جایی بگید که ما درست کنیم باگارو عال میشه !

fazli · Jan 5, 2008

با سلام.
تو نسخه دریافتی از سایت www.e107cms.org این مشکل رو با یاری 4shir که مدیر امنیتی هست بر طرف کردیم!
اما تو نسخه های مشابه تو سایت های دیگه وجود داره!! مواظب باشید!

arashonline · Jan 6, 2008

شرمنده 4shir عزيز ديروز تو چت من خودم نبودم نتونستم باهات صحبت كنيم !
ميشه يه مقداري بيشتر توضيح بديد !

fazli · Jan 6, 2008

با سلام
4shir نبود عزیز من بودم. اینم ایدیم:
hr_hakan
موفق باشید. توضیح هم تو سایت پشتیبانی فقط!

arashonline · Jan 6, 2008

fazli گفت:
با سلام
4shir نبود عزیز من بودم. اینم ایدیم:
hr_hakan
موفق باشید. توضیح هم تو سایت پشتیبانی فقط!

شما بودي پس !
من منظورم از توضيحات در مورد سيستم جوملاست نه اين !

4shir · Jan 6, 2008

جوملا رو هم تا چند وقت ديگه (بعد از امتحانات) حتما چک مي کنم مخصوصا کامپوننت هاش رو !!!
دوستان هم اگر لطف کنن يک نسخه کامل به همراه کامپوننت ها و ماژول هاش لينک بدن تا بتونم دانلود کنم
موفق باشيد
در ضمن ايدي من sasan_4shir هستش !