Pokaż wyniki 1 do 9 z 9

Temat: phpMyAdmin 2.10.3

  1. #1
    Zarejestrowany
    Jul 2009
    Postów
    18

    Domyślnie phpMyAdmin 2.10.3

    Witam ,
    Czy znacie jakąś dziurę/bug
    na "odzyskanie hasła i loginu" w phpmyadmin w wersjii 2.10.3
    Pozdrawiam
    mikipl

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    War, war never changes.

  3. #3
    Zarejestrowany
    Jul 2009
    Postów
    18

    Domyślnie

    znalazłem coś [jestem początkujący]
    jak tego użyć
    1)
    Kod php:
    PMASA-2009-5

    Announcement
    -IDPMASA-2009-5

    Date
    2009-06-30

    Summary

    XSS vulnerability

    Description

    It was possible to conduct an XSS attack via a crafted SQL bookmark
    .
    Severity

    We consider this vulnerability to be serious
    .

    Affected Versions

    For 2.11.xversions are not affected.
    For 
    3.xAll 3.x releases on which the "bookmarks" feature is active are affected.

    Solution

    Upgrade to phpMyAdmin 3.2.0.1
    .

    References

    We wish to thank Sven Vetsch
    /Disenchant for informing us in a responsible mannerHis site is http://disenchant.ch.

    Assigned CVE idsCVE-2009-2284

    Patches

    Revision 12608 was applied to all affected branches
    .

    For 
    further information and in case of questionsplease contact the phpMyAdmin teamOur website is http://www.phpmyadmin.net. 
    2)
    Kod php:
    PMASA-2008-1

    Announcement
    -IDPMASA-2008-1

    Date
    2008-03-01

    Updated
    2008-03-03

    Summary

    SQL injection vulnerability 
    (Delayed Cross Site Request Forgery)

    Description

    We received an advisory from Richard Cunningham
    , and we wish to thank him for his workphpMyAdmin used the $_REQUEST superglobal as a source for its parametersinstead of $_GET and $_POST superglobalsThis means that on most serversa cookie with the same name as one of phpMyAdmin's parameters can interfere.

    Another application could set a cookie for the root path "/" with a "sql_query" name, therefore overriding the user-submitted sql_query because by default, the $_REQUEST superglobal imports first GET, then POST then COOKIE data.

    Severity

    We consider this vulnerability to be serious.

    Affected Versions

    Versions before 2.11.5.

    Solution

    Upgrade to phpMyAdmin 2.11.5 or newer, where $_REQUEST is rebuilt to not contain cookies.

    References

    Assigned CVE ids: CVE-2008-1149

    Patches

    The patch for the QA_2_11 branch.

    For further information and in case of questions, please contact the phpMyAdmin team. Our website is http://www.phpmyadmin.net. 

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał mikipl Zobacz post
    znalazłem coś [jestem początkujący]
    jak tego użyć
    nauczyc sie czegos... i zrozumiec jak i dlaczego to dziala - wtedy nie bedzie juz poczatkujacy
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Jul 2009
    Postów
    18

    Domyślnie

    Cytat Napisał TQM Zobacz post
    nauczyc sie czegos... i zrozumiec jak i dlaczego to dziala - wtedy nie bedzie juz poczatkujacy
    możecie mi wytłumaczyć trochę ?

  6. #6
    Zarejestrowany
    Jul 2009
    Postów
    10

    Domyślnie

    możecie mi wytłumaczyć trochę ?
    Nie. Musisz sam do tego dojść (bedzie lepiej dla Ciebie i dla nas).
    Nie zrozumiesz za pierwszym razem? Zrozumiesz za następnym razem...
    Naucz się php i zasady działania tego wszystkiego. Dasz sobie radę.

    aaa właśnie, jeśli jesteś początkujący to zastosuj się do jednej z moich ulubionych sentencji (Św. Izydor):
    "Na początku słuchaj. Zabieraj głos jako ostatni. Ostatnie słowo jest więcej warte niż pierwsze."
    Chyba, że masz pytania. Najpierw pytaj google. Potem jeśli masz dobrych kolegów informatyków, pytaj ich. Potem pytaj na forum.
    Ostatnio edytowane przez Inquisitor : 07-20-2009 - 11:53
    Na początku słuchaj. Zabieraj głos jako ostatni. Ostatnie słowo jest więcej warte niż pierwsze.

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Ok - to co pokazales to advisory o bledach w sofcie. Sekcja "Description" mowi co jest nie tak i jak mozna to wykorzystac. Tam nie ma gotowego kodu i nie bedzie - to jest advisory. Znajac zasady dzialania HTTP i byc moze nieco PHP mozna napisac exploit ktory umozliwi wykonanie ataku.

    Jak widzisz, czas zabrac sie do nauki...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Jul 2009
    Postów
    18

    Domyślnie

    nie ma jakiegoś gotowego exploitu?
    szukałem na milw0rmie nic ;/
    a może wy sprobujecie mi napisac

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Powiem raz i dobitnie to co wiele razy juz mowilem - jesli ktos jest na tyle **** ze majac narzedzia nie potrafi ich uzyc, to znaczy ze nie sa dla niego! Czas zabrac zabawki i isc do wlasciwej piaskownicy.

    01
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. Odpowiedzi: 5
    Autor: 05-13-2009, 17:32
  2. Sql injection PHPMYADMIN
    By teju14 in forum Inne metody
    Odpowiedzi: 11
    Autor: 03-16-2009, 18:28
  3. shell przez phpmyadmin
    By adex in forum Hacking
    Odpowiedzi: 13
    Autor: 01-27-2009, 13:53

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj