Forums
Discussions and forums
Valarsoft forum section, you can register to write in the forums or you can only read forum posts.
You can post in english (main language) or italian (if you prefer).

All the forums Webmatic Webmatic older versions (previous 3.0.0)
only in discussions
Webmatic older versions (previous 3.0.0)
Discussions about Webmatic previous version 3.0.0
Creato il April 13 2004 (19:37:44), moderator: arraffaele (group: Default)
You can: read posts.

Author Message

Anonymous
April 06 2007 (22:04:10)

SQL Injection

http://www.valarsoft.com/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

arraffaele
April 07 2007 (12:08:43)

You have found a security bug, We have censured your exploit for now

Will provide soon
thanks!

Anonymous
April 07 2007 (17:54:16)

basta mettere magic_quotes = on e si risolve il problema, anche perchè non è l'unica pagina vulnerabile!

arraffaele
April 08 2007 (13:25:12)

Si, ma deve funzionare anche con magic quote = off, quindi va controllato bene.
Grazie!

Anonymous
April 09 2007 (01:40:08)

beh, allora dato che sono parametri numerici possono essere passati tutti a inval(), oppure alla funzione quote() definita in /core/lib.php...un'altra cosa: ma un bel md5() alle password no?! ps: ho dimenticato una 'c' nel titolo del topic! :D

arraffaele
April 18 2007 (18:20:42)

wrote:
beh, allora dato che sono parametri numerici possono essere passati tutti a inval(), oppure alla funzione quote() definita in /core/lib.php...un'altra cosa: ma un bel md5() alle password no?! ps: ho dimenticato una 'c' nel titolo del topic! :D

... come si dice, il tempo è nemico dell'uomo, quindi anche mio nemico, un po' di aiuto male non mi farebbe di certo, se vuoi collaborare...

Spero comunque presto di risolvere i problemi da te elencati.
La 'c' è adesso a posto.
Grazie e ciao.

Anonymous
April 21 2007 (04:07:18)

per cllaborare non credo di avere molto a disposizione, se però questo può esserti d'aiuto (un consiglio), se non hai ancora pensato a fixare sto bug cerca di farlo il prima possibile perchè ho notato che la maggior parte delle pagine sono vulnerabili. guarda questa per esempio, mostra pure l'intera tabella:
http://www.valarsoft.com/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

arraffaele
April 21 2007 (20:38:18)

Faro' tutto il piu' presto possibile.

arraffaele
April 24 2007 (01:11:57)

Ho sistemato il bug definitivamente (speriamo), ho passato
tutti gli ID numerici ad intval(), ho riprovato i tuoi exploit e adesso sembra andare tutto ok!<br>Puoi provare altri exploit sul sito se vuoi, se trovi altri errori facci sapere <img src=pic/smiles/s1.gif align=absmiddle>.<br>Presto uscira la prossima versione riveduta e corretta di Webmatic.

Anonymous
April 27 2007 (15:20:36)

ok...molto bene!...però per l'auditing preferei testare in locale, anchè perchè mi viene meglio analizzando direttamente il codice, dove posso trovare il pacchetto della nuova 2.6.2?

arraffaele
April 28 2007 (18:50:52)

wrote:
ok...molto bene!...però per l'auditing preferei testare in locale, anchè perchè mi viene meglio analizzando direttamente il codice, dove posso trovare il pacchetto della nuova 2.6.2?

Sarà rilasciato al piu' presto...


Total visitors 264536 (2211 today) (Page generated in 0.20621 seconds, 77 queries)
Powered by: Webmatic 3.1.2 beta