Уязвимости в Datalife Engine

[alert]

Немогли бы вы подсказать есть ли уязвимости в 4,5 версии и как их закрыть

 

[Foxa]

Если у тебя нулл от эпидема... то:

engine/images.php
строка 81

$allowed_extensions = array("gif", "jpg", "png","jpe","php", "jpeg");

заменить на

$allowed_extensions = array("gif", "jpg", "png", "jpe", "jpeg");

 

[Winux]

Щас почти у всех этот нулл от эпидема. Зря пропалил баг, терь все пропатчатся.

З.Ы.: бесплатный сыр только в мышеловке.

 

[Foxa]

Его уже давно пропалили на веб хаке

 

[Одинокий Волк]

Почему нулл от епидема??? <_<
я думал что nulled его занулили :blink:

 

[(-util-)]

[URL=http://" onmousemove='alert(document.cookie);']My Webpage[/URL]

[URL=http://fu.lol" style='background:url(javascript:alert(/xss/));']My Webpage[/URL]

В Апреле я ещё нашёл баг в коментах

 

[Foxa]

(-=util=-)

А если для себя... как залатать её ?

 

[(-util-)]

Слух несмотрел сорсика. Надо глянуть.

 

[alert]

Нет у меня не нул от эпидема!

 

[Jerry]

нуллед не будет нулить ДЛЕ
а следающая ваще будет под зендом
и кстати афтар искал этот апдейт:

Проблема: Недостаточная фильтрация переменной $_SERVER['PHP_SELF']

Ошибка в версии: 4.5, 4.3, 4.2

Степень опасности: Низкая

Открываем файл index.php в корне и находим

$config['http_home_url'] = str_replace ('index.php', '', $_SERVER['PHP_SELF']);

заменяем на

$config['http_home_url'] = str_replace ('index.php', '', htmlspecialchars(strip_tags($_SERVER['PHP_SELF'])));

 

[Одинокий Волк]

Нет у меня не нул от эпидема!

нуллед не будет нулить ДЛЕ
а следающая ваще будет под зендом

Специально для Вас решил зайти посмотреть
DataLife Engine 4.5 Nulled

#19 написал: FresH (3 сентября 2006 05:42)  
  Soft-Blog.Net, http://defaces.ws/2006/08/11/vzloman_epidemru.html и ТЫ деточка следующий со своим нуллом от Fresh

Во всех релизах которые я скачал с инета присудствовала эта уязвимость.

Если почитаешь тему на нуллед.вс первым релиз выпустил отнють не я.
И те скрипты которые я юзал мне дали из релиза тех ублюдков.

Раскодировал триал версию:
http://nulled[.]ws/forum/showthread.php?p=17912

#32 написал: drSpawn (7 сентября 2006 05:18) 
  Все скрипты были проверены... Нулл от dle-news это нул от fresh, только заменили engineincinit.php и engineimages.php
не каких email'ов нет, нечего нет, только в конце и в начеле скриптов встречаются их копирайты... тоесть, пиздешь на глаза... У фреша открыт init.php а у dle-news.com нет... ВОТ ТОЛЬКО У ФРЕША ЗАПАДЛЯНКА в ФАЙЛЕ engineimages.php в 83 строке там где расширение файлов на закачку стоит, он поставил php...
init.php фреша вроде нормальный, буду проверять на коннекты, а у dle-news.com не скачивайте, т.к хз что скрывается... единственное там изправлен баг с

 и все ну и яндекс мод подключить мона... 
[/quote]
Ещё вопросы есть?

P.S. как обычно бесплатный сыр тока в мышеловке :))))
2Jerry на сколько я знаю ты вроде тоже с nulled, точно не помню кто обычный юзер или тим мембер, но точно видел тебя там...

 

[Foxa]

Одинокий Волк

Ну это тоже самое, что я говорил

Jerry

Спасибо!

(-=util=-)

Давай

 

[Jerry]

Одинокий Волк
Soft-blog.net это я =)
я вообще там не хотел особо высказыватся но эпидем сам стучалку на мыло ексета (сайт такой) и вот таакую падлу сделал (в картинках)
верный нулл от фреша но он тоже не поглядел и пропустил 83 строку в файле images.php

а drSpawn вообще дол***** (ну вы поняли)
или это админ эпедема под другим ником позорит фреша
там вообще дибилы какието собрались кроме меня и фреша в каментах =)

а на нулледе я прем. постерс.

короче там вообще такая история
скрипты с эпидема лучше не качать в общем
нормальный человек уже удалил бы новость...

 

[Одинокий Волк]

Извеняюсь за офтоп, просто в асе нет времени перетирать, а тут пару слов хотел сказать
Jerry
Видешь я сам с nulled[.]ws
Можно сказать был на пол пути тим мембером, наша тима WShare TeaM и Nulled TeaM должны были объединица но наша тима разбежалась не надолго и тема ушла на время, кто знает все начинают собираться и скоро всё возобновим и объединимся, правдо меня просит носвераут и гризоне написать новую CMS для Nulled что бы не похекали никогда ))
Так вот на сколько я понял все релизы с шелами или ещё с чем-нибудь...я заметил уже давно я много всего имею с nulled[.]ws, не везде конечно но во многих находил шеллы...нулят не они сами, а 3-тии лица как я понял... так хз...
главное что бы они это не прочитали )
З.Ы. http://soft-blog.net/category/script/page/3/ ссылку на коби удали, проект rusnull.net - это нашей тимы бывший проект он закрылся полгода назад

 

[Jerry]

Тоже извиняюсь но ответить то надо

Видешь я сам с nulled[.]ws smile.gif

Теперь вижу )

Ваша тима разбегалась раз пятнадцать помоему, мне уже надоело регатся у вас на форуме, я забил ))

правдо меня просит носвераут и гризоне написать новую CMS для Nulled что бы не похекали никогда smile.gif))

Лигенда ондерграунда нопишет одэй сплоет и похекает всех =\

Так вот на сколько я понял все релизы с шелами или ещё с чем-нибудь...я заметил уже давно я много всего имею с nulled[.]ws, не везде конечно но во многих находил шеллы...нулят не они сами, а 3-тии лица как я понял

Newsgrabber их работа
там шелл
причём мне его стандартными средствами раскодить не удалось!
значет чтото страшное
а знаешь нахера они это сделали ?
чтобы пропиарить свой сайт
правда все молчат =)
вот когда был нулл ДЛЕ с шеллом тут во всём рунете об этом говорили а тут все молчат
пиар не удался =)
а насчёт левых людей - их тима не будет нулить маленькие скрипты, они CMS нулят и значительно долго, а относительно маленькие скрипты (ну типа IPB =) ) нулят левые, те кто попал в клуб за свои способности и от него должны исходить релизы
я вообще их политику не могу понять последнее время =)

главное что бы они это не прочитали smile.gif)

ага =)
если это в твоих силах то снеси нах всё шо написано =)
мня ж из клуба изключат (я там и так еле как попал =))))

З.Ы. http://soft-blog.net/category/script/page/3/ ссылку на коби удали, проект rusnull.net - это нашей тимы бывший проект он закрылся полгода назад smile.gif

снёс)))

п.сы.
выйди в асю поговорим о насущьном =)

 

[faf]

На сколько я понял все nulled скрипты содержать какую-нить хрень в себе? Data Life Engine 4.3 nulled by Phaeton 100% рабочая - этот скрипт тоже с погрехами?

И сразу вопрос. Где скачать нормальный двиг Data Life Engine?

 

[Одинокий Волк]

п.сы.
выйди в асю поговорим о насущьном =)

ок, стукнул humbsup:

На сколько я понял все nulled скрипты содержать какую-нить хрень в себе? Data Life Engine 4.3 nulled by Phaeton 100% рабочая - этот скрипт тоже с погрехами?

Я не могу судить за всех, эти посты я постараюсь удалить, но если успеешь прочитать ответ я ни видел ещё ни где что-нибудь нулёного без какой-нибудь гадости...

И сразу вопрос. Где скачать нормальный двиг Data Life Engine?

Я всегда в таком случаи следую одному из 2-х правил:
1) смогу сам, значит напишу
2) не смогу, значит сделаю то что смогу другим, получу деньги за работу и куплю то что не могу сделать
Тебе тоже советую безопасно...и ещё раз напоминаю бесплатный сыр только в мышеловке...

 

[alert]

Ребят а можно поконкретнее а то меня ломать хотят сказали или я их или меня а я ломать неумею!
И пожалуйсто не надо флуда не относящегося к этой тебе

 

[(-util-)]

закажи у знающих людей в ПМ тест своей паги. Думаю помогут.

 

[alert]

спс уже сломали