Witam ,
Czy znacie jakąś dziurę/bug
na "odzyskanie hasła i loginu" w phpmyadmin w wersjii 2.10.3
Pozdrawiam
mikipl
phpMyAdmin 2.10.3
Witam ,
Czy znacie jakąś dziurę/bug
na "odzyskanie hasła i loginu" w phpmyadmin w wersjii 2.10.3
Pozdrawiam
mikipl
Shapeshifter
znalazłem coś [jestem początkujący]
jak tego użyć
1)
2)Kod php:PMASA-2009-5
Announcement-ID: PMASA-2009-5
Date: 2009-06-30
Summary
XSS vulnerability
Description
It was possible to conduct an XSS attack via a crafted SQL bookmark.
Severity
We consider this vulnerability to be serious.
Affected Versions
For 2.11.x: versions are not affected.
For 3.x: All 3.x releases on which the "bookmarks" feature is active are affected.
Solution
Upgrade to phpMyAdmin 3.2.0.1.
References
We wish to thank Sven Vetsch/Disenchant for informing us in a responsible manner. His site is http://disenchant.ch.
Assigned CVE ids: CVE-2009-2284
Patches
Revision 12608 was applied to all affected branches.
For further information and in case of questions, please contact the phpMyAdmin team. Our website is http://www.phpmyadmin.net.
Kod php:PMASA-2008-1
Announcement-ID: PMASA-2008-1
Date: 2008-03-01
Updated: 2008-03-03
Summary
SQL injection vulnerability (Delayed Cross Site Request Forgery)
Description
We received an advisory from Richard Cunningham, and we wish to thank him for his work. phpMyAdmin used the $_REQUEST superglobal as a source for its parameters, instead of $_GET and $_POST superglobals. This means that on most servers, a cookie with the same name as one of phpMyAdmin's parameters can interfere.
Another application could set a cookie for the root path "/" with a "sql_query" name, therefore overriding the user-submitted sql_query because by default, the $_REQUEST superglobal imports first GET, then POST then COOKIE data.
Severity
We consider this vulnerability to be serious.
Affected Versions
Versions before 2.11.5.
Solution
Upgrade to phpMyAdmin 2.11.5 or newer, where $_REQUEST is rebuilt to not contain cookies.
References
Assigned CVE ids: CVE-2008-1149
Patches
The patch for the QA_2_11 branch.
For further information and in case of questions, please contact the phpMyAdmin team. Our website is http://www.phpmyadmin.net.
nauczyc sie czegos... i zrozumiec jak i dlaczego to dziala - wtedy nie bedzie juz poczatkujacyNapisał mikipl
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
możecie mi wytłumaczyć trochę ?
Nie. Musisz sam do tego dojść (bedzie lepiej dla Ciebie i dla nas).możecie mi wytłumaczyć trochę ?
Nie zrozumiesz za pierwszym razem? Zrozumiesz za następnym razem...
Naucz się php i zasady działania tego wszystkiego. Dasz sobie radę.
aaa właśnie, jeśli jesteś początkujący to zastosuj się do jednej z moich ulubionych sentencji (Św. Izydor):
"Na początku słuchaj. Zabieraj głos jako ostatni. Ostatnie słowo jest więcej warte niż pierwsze."
Chyba, że masz pytania. Najpierw pytaj google. Potem jeśli masz dobrych kolegów informatyków, pytaj ich. Potem pytaj na forum.
Ostatnio edytowane przez Inquisitor : 07-20-2009 - 12:53
Na początku słuchaj. Zabieraj głos jako ostatni. Ostatnie słowo jest więcej warte niż pierwsze.
Ok - to co pokazales to advisory o bledach w sofcie. Sekcja "Description" mowi co jest nie tak i jak mozna to wykorzystac. Tam nie ma gotowego kodu i nie bedzie - to jest advisory. Znajac zasady dzialania HTTP i byc moze nieco PHP mozna napisac exploit ktory umozliwi wykonanie ataku.
Jak widzisz, czas zabrac sie do nauki...
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
nie ma jakiegoś gotowego exploitu?
szukałem na milw0rmie nic ;/
a może wy sprobujecie mi napisac
Powiem raz i dobitnie to co wiele razy juz mowilem - jesli ktos jest na tyle **** ze majac narzedzia nie potrafi ich uzyc, to znaczy ze nie sa dla niego! Czas zabrac zabawki i isc do wlasciwej piaskownicy.
01
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Zasady Postowania
Copyright © 2006-2024 - HACK.pl. Wszelkie prawa zastrzeżone.
