Zone-H
Home arrow Avisos de Segurança arrow phpRaid: Falhas de SQL Injection e File Inclusion
06 de October de 2008
  
 
Ataques desta semana
O.S.  Defs.  %
Linux  10839  74.77%
Win 2003  2544  17.55%
Win 2000  693  4.78%
FreeBSD  282  1.95%
SolarisSunOS  47  0.32%
Other  92  0.63%

Total de ataques: 14497 dos quais 4063 único(s) no ip e 10434 invasão(ões) em massa

Menu Principal
Home
Guerra Digital
Geopolítica
Notícias ITsec
Avisos de Segurança
Test Drive
360°
Sites atacados
Eventos do Zone-H
Fórum
Publicações
Zone-H Amigos/Parceiros
Contate-nos
Sobre este Site
Membros do Zone-H BR
Favoritos geral
Zone-H.org
Área de download
phpRaid: Falhas de SQL Injection e File Inclusion Imprimir E-mail
Avaliação do Usuário: / 1
PiorMelhor 
Por Marcelo Almeida (Vympel)   
02 de July de 2006
SQL Injection: O uso de SQL na página includes/functions_logging.php não é propriamente verificada na função
"log_hack()" e pode ser usada para inserir códico sql via URL.

PHP Include: A parametro "phpraid_dir" não é corretamente declarado e pode ser usado por um usuário remoto  para inserir páginas diversas dentro do servidor.

Páginas afetadas:
configuration.php
guilds.php
index.php
locations.php
login.php
...

lua_output.php
permissions.php
profile.php
raids.php
register.php
roster.php
view.php
logs.php (na versão 3.0.5)
users.php (na versão 3.0.5)

Esta falha foi confirmada na versão 3.0.6. Versões anteriores também podem ser afetadas.

Enviado e/ou descoberto por:
Sven Krewitt, Secunia Research.

Aviso original:
Secunia Research:
http://secunia.com/secunia_research/2006-47/

 
< Anterior   Próximo >
[Voltar]
 
Top!
(C) 2008 Zone-H - Unrestricted Information
Top!