[ xxxrugby @ 07.07.2005. 19:51 ] @
Code:
Description: An input validation vulnerability was reported in the phpBB Notes Mod. A remote user can inject SQL commands.

The 'posting_notes.php' does not properly validate user-supplied input in the 'post_id' parameter. A remote user can supply a specially crafted parameter value to execute SQL commands on the underlying database.

A demonstration exploit URL is provided:
http://[target]/posting_notes.php?mode=editpost &p=-99%20UNION%20SELECT%200,0, username,0,0,0,0,0,0%20FROM%20orionphpbb_users%20WHERE%20user_id=2/*

The 'editpost' function and other functions are affected.

James Bercegay of the GulfTech Security Research Team reported this vulnerability.

Impact: A remote user can execute SQL commands on the underlying database.

Solution: No solution was available at the time of this entry.
[ Sundance @ 07.07.2005. 20:17 ] @
PHP.......how typical :P

Ta popularna extenzija HTML-a kvaziobjektnih mogućnosti i katastrofalnih performansi je magnet za sve moguće i nemoguće klase bugova....

PHP suxa više nego win9x i linux kernel skupa.
[ MladenIsakovic @ 07.07.2005. 20:22 ] @
@xxxrugby

Alo majstore,
jel' to poruka sa onog MS Linuxa što si ga skinuo prošle nedelje?
[ axez @ 07.07.2005. 20:57 ] @
Jbote....sto ovakve teme ne idu u security ili nesto slicno??????
[ s!c @ 07.07.2005. 21:17 ] @
Citat:

PHP suxa više nego win9x i linux kernel skupa.



A što bi ti onda mogao predložiti kao zamjenu za php (ili ako tebi više odgovara, čemu je php bio alternativa)?



[Ovu poruku je menjao s!c dana 07.07.2005. u 22:20 GMT+1]
[ Sundance @ 07.07.2005. 21:44 ] @
ASP.NET ofcoz.

Brži, bolji, sigurniji.....

Jednostavno više nema izlika!

A evo ga i na ljinuxu:

http://dev.mainsoft.com/Default.aspx?tabid=45
[ s!c @ 07.07.2005. 21:58 ] @
A sada da pitam ovako - što je bolje prvo naučiti, php ili asp? I što je, u neku ruku lakše? Kao neku mjeru, uzmi mene koji sam lamer-totaly-neiskusan sa web proganjem!
[ byM4k5 @ 08.07.2005. 01:08 ] @
Nikako ASP, jer je star! :>

A ova rupa, pa taj mod se ne nalazi na phpBB-ovom sajtu, tako da je to veoma neprovjereno...
[ axez @ 08.07.2005. 15:24 ] @
Citat:
s!c: A što bi ti onda mogao predložiti kao zamjenu za php (ili ako tebi više odgovara, čemu je php bio alternativa)?



Niposto ASP, ASP.Net...niposto microsoft.....zaglibis li se u microsoft onda si bas zaglibljen do grla u govnima...pogotovo kad je Web u pitanju...:)
[ Sundance @ 08.07.2005. 21:54 ] @
Citat:
axez: Niposto ASP, ASP.Net...niposto microsoft.....


Zadnji put kad sam ja gledao, mogao si ASP.NET sajtove hostat i na ljinuxu.

Ako ti treba free hosting, probaj ovo:

http://monoforge.com/index.html

[Ovu poruku je menjao Sundance dana 08.07.2005. u 22:54 GMT+1]
[ degojs @ 14.07.2005. 21:02 ] @
Hehehe, kad i pokusa nesto sa tehnicke strane, ispadne da opet pojma nema.

Axez, tebi najbolje ide ono: "MS sux", "BSOD".. - kratko, glupo i uporno :)
[ axez @ 15.07.2005. 09:57 ] @
Citat:
degojs: Axez, tebi najbolje ide ono: "MS sux", "BSOD".. - kratko, glupo i uporno :)



Da naravno...zato sto to vas najvise nervira.
Ne zaboravi jos 80.000 virusa, spyware da ne pominjem......jebo OS na kome je najrasprostanjeniji softver malware.

[Ovu poruku je menjao axez dana 15.07.2005. u 11:00 GMT+1]

[Ovu poruku je menjao axez dana 15.07.2005. u 11:00 GMT+1]
[ xtraya @ 15.07.2005. 13:32 ] @
ma ne ne dobar je softwer, cik probaj sa xpom da bez firewalla i antivirusa malo protrchis kroz MP3-XXX sajtove...


samo probaj, evo odradicu jednu suhu instalaciju i probati jedno 5-6 minuta da surfujem (naravno posle instaliranog smarackog sp2) po iks i em pe tri sajtovima
pa da vidim za koliko vremena ce da se pojave razni GAIN,BUDDY,MEDIAACK i ostali exe smaraci, a da ne pricam o uletanju raznih search-era,porno guide-a,enlarge your penis-ea i slicno u vas toliko hvaljen IE. e da, najbitnije, posle svega toga moram da prelistam registry, da vidim sta ce da se autoexec-uje pri rebootu windowsa....

opet podvlacim, BEZ antivirusa i BEZ firewalla

i NECU da proveravam mail outlookom, ne daj boze... tek to bi bilo pristrasno odmah

[Ovu poruku je menjao xtraya dana 15.07.2005. u 14:33 GMT+1]
[ Ivan Dimkovic @ 15.07.2005. 13:46 ] @
Citat:

i NECU da proveravam mail outlookom, ne daj boze... tek to bi bilo pristrasno odmah


Vidi ovaj... na mom outlooku stoji oko 18000 inbox mailova od Jula 2000 do danas. Ova masina nema anti virus.

Najobicnije podesavanje sistema tako da korisnici rade kao restricted-useri, i podesavanje zona u browserima cine sistem daleko sigurnijim.

A ovo gore je sasvim normalna stvar u Linux svetu. Hvala bogu da ce i u Longhornu to postati i default ponasanje i za windows.
[ Palma @ 15.07.2005. 13:50 ] @

He he, Vladanko, Vladanko, crni sine...

Da si bar malo proučio materiju (ili makar instalirao taj "smarački SP2") znao bi da je firewall po default-u aktivan.

[ xtraya @ 15.07.2005. 14:07 ] @
cekaj, ja NECU da upalim firewall, da li me razumes? NECU....

naravno da je default on u sp2, uostalom i u sp1 taj fw radi posao , samo sto nije ubacen u control panel nego moras po konekciji da brljas da bi namestio,
[ Ivan Dimkovic @ 15.07.2005. 19:14 ] @
Citat:

cekaj, ja NECU da upalim firewall, da li me razumes? NECU....

naravno da je default on u sp2, uostalom i u sp1 taj fw radi posao , samo sto nije ubacen u control panel nego moras po konekciji da brljas da bi namestio,


Radi posao i u w2k zapravo ;-)

Ajde ovako... instaliras win, instaliras sp2... mozes i da iskljucis taj firewall ako bas hoces, ali pre toga nastimujes sledece stvari:

- Iskljucis sve guest naloge (ovo win radi po defaultu)

- Ukljucis auto-update

- Namestis da se useri loguju kao restricted-users, a admin nalog cuvas samo za podesavanje hardvera

- Obavezno procesljas security settings u browseru/maileru i namestis odgovarajuce zone i zabrane izvrsavanja executable fajlova, i sl...

- Instaliras samo legitimne aplikacije, znaci nikakvi crackovi i sl.

- Log-out, log-in as restricted user

I to je to... bices vrlo siguran i bez firewalla i antivirusa.
[ dr ZiDoo @ 15.07.2005. 19:15 ] @
Tako jako zelim da znam kakve veze PHP ima sa ovim bugom? To sto lik drito iz GET-a trpa u SQL query ...
[ Palma @ 15.07.2005. 19:17 ] @
A ja isto tako jako želim da znam zašto si pozatvarao one teme tek tako.

//EDIT by me:

Firefox je g****.


[Ovu poruku je menjao Palma dana 15.07.2005. u 20:21 GMT+1]
[ degojs @ 15.07.2005. 23:01 ] @
Citat:
cekaj, ja NECU da upalim firewall, da li me razumes? NECU....


Pa boli nas qrac što TI nećeš da uključiš firewall. Nemoj ni da zaključavaš auto i stan.. boli nas uvo.

Treba da se klikne par puta i uključi firewall, big deal. Možda je lakše promeniti OS, bilo koji da je u pitanju.. Možda je lakše odseliti se u pustinju nego zaključati vrata.. Možda..

A već ljudi lepo rekoše - Windows sad po difoltu ima isti uključen. A i taj SP2 je deo Windowsa, ima već skoro godinu dana.. Definitivno živite u srednjem veku.



[Ovu poruku je menjao degojs dana 16.07.2005. u 00:28 GMT+1]
[ degojs @ 15.07.2005. 23:34 ] @
Citat:
Da naravno...zato sto to vas najvise nervira.
Ne zaboravi jos 80.000 virusa, spyware da ne pominjem......jebo OS na kome je najrasprostanjeniji softver malware.


Jebo ti ljude koji se ovde javljaju i komentarišu, a da neko radi u IT, ni čuti :) Mesara nam je krajnji domet :) Šunke i kobaje.. Pa tu garant ima više brige o virusima nego na Windowsu :)))

Tebi i ostaje da pričaš da komšinica Mica ima problema sa virusima. Ali Linux ni ne koristi, ni čula za njega nije, pa ti vidi :)))

Sa druge strane, tamo gde linuxa ima više (na serverima), slobodno prošetaj do zone-h pa vidi kakvo je stanje: 9 od 10 dana, Linux je prvi na listi :)

Ma ne moraš ni do zone-h, možeš i do onog svog sajta - jesu tebi ono beše difejsovali sajt, a ti pravac - policija? :)) Vidim, sigurnost ti je jača strana.. Pa ti tačno i da staviš Windows, popio bi svih 80,000 virusa za jedan dan koliko si upućen :)



[Ovu poruku je menjao degojs dana 18.07.2005. u 04:33 GMT+1]