All the forums  Webmatic Webmatic older versions (previous 3.0.0) |
|
Webmatic older versions (previous 3.0.0)
Discussions about Webmatic previous version 3.0.0
Creato il April 13 2004 (19:37:44), moderator: arraffaele (group: Default)
You can: read posts.
|
| Author |
Message |
Anonymous |
April 06 2007 (22:04:10)
SQL Injection
http://www.valarsoft.com/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX |
arraffaele |
April 07 2007 (12:08:43)
You have found a security bug, We have censured your exploit for now 
Will provide soon
thanks! |
Anonymous |
April 07 2007 (17:54:16)
basta mettere magic_quotes = on e si risolve il problema, anche perchè non è l'unica pagina vulnerabile! |
arraffaele |
April 08 2007 (13:25:12)
Si, ma deve funzionare anche con magic quote = off, quindi va controllato bene.
Grazie! |
Anonymous |
April 09 2007 (01:40:08)
beh, allora dato che sono parametri numerici possono essere passati tutti a inval(), oppure alla funzione quote() definita in /core/lib.php...un'altra cosa: ma un bel md5() alle password no?! ps: ho dimenticato una 'c' nel titolo del topic! :D |
arraffaele |
April 18 2007 (18:20:42)
wrote:
beh, allora dato che sono parametri numerici possono essere passati tutti a inval(), oppure alla funzione quote() definita in /core/lib.php...un'altra cosa: ma un bel md5() alle password no?! ps: ho dimenticato una 'c' nel titolo del topic! :D
... come si dice, il tempo è nemico dell'uomo, quindi anche mio nemico, un po' di aiuto male non mi farebbe di certo, se vuoi collaborare... 
Spero comunque presto di risolvere i problemi da te elencati.
La 'c' è adesso a posto.
Grazie e ciao. |
Anonymous |
April 21 2007 (04:07:18)
per cllaborare non credo di avere molto a disposizione, se però questo può esserti d'aiuto (un consiglio), se non hai ancora pensato a fixare sto bug cerca di farlo il prima possibile perchè ho notato che la maggior parte delle pagine sono vulnerabili. guarda questa per esempio, mostra pure l'intera tabella:
http://www.valarsoft.com/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx |
arraffaele |
April 21 2007 (20:38:18)
Faro' tutto il piu' presto possibile. |
arraffaele |
April 24 2007 (01:11:57)
Ho sistemato il bug definitivamente (speriamo), ho passato
tutti gli ID numerici ad intval(), ho riprovato i tuoi exploit e adesso sembra andare tutto ok!<br>Puoi provare altri exploit sul sito se vuoi, se trovi altri errori facci sapere <img src=pic/smiles/s1.gif align=absmiddle>.<br>Presto uscira la prossima versione riveduta e corretta di Webmatic. |
Anonymous |
April 27 2007 (15:20:36)
ok...molto bene!...però per l'auditing preferei testare in locale, anchè perchè mi viene meglio analizzando direttamente il codice, dove posso trovare il pacchetto della nuova 2.6.2? |
arraffaele |
April 28 2007 (18:50:52)
wrote:
ok...molto bene!...però per l'auditing preferei testare in locale, anchè perchè mi viene meglio analizzando direttamente il codice, dove posso trovare il pacchetto della nuova 2.6.2?
Sarà rilasciato al piu' presto... |
