باگ امنیتی خطرناک در پی لاین

نمایش نسخه قابل چاپ

نمایش 40 پست از این موضوع در یک صفحه

2016/03/20, 09:34 PM
curse

باگ امنیتی خطرناک در پی لاین

درود
بعد از انتشار این اسکریپت توسط پی لاین مدیران تیم امنیتی جهش با برسی های امنیتی توانستند ضعف امنیتی که در کد نویسی این اسکریپت وجود داشت را کشف کنند
این ضعف به نفوذ گران اجازه می دهد بدون داشتن یوزر و پسورد به صفحه ی ادمین دسترسی پیدا کرده و اقدام به عوض کردن API کنند
که به این صورت کل تراکنش های ورودی به حساب فرد نفوذگر انتقال می یابد
برای امنیت بیشتر کاربران و جلوگیری از کلاه برداری های اینترنتی ؛ کسانی که از درگاه پی لاین استفاده میکنند این اسکریپت را پاک کنند

اطلاعات بیشتر از این اکسپولیت
https://cxsecurity.com/issue/WLB-2016030106

تیم امنیتی جهش
2016/03/21, 11:25 AM
AMIN000

نقل قول:

نوشته اصلی توسط curse

درود
بعد از انتشار این اسکریپت توسط پی لاین مدیران تیم امنیتی جهش با برسی های امنیتی توانستند ضعف امنیتی که در کد نویسی این اسکریپت وجود داشت را کشف کنند
این ضعف به نفوذ گران اجازه می دهد بدون داشتن یوزر و پسورد به صفحه ی ادمین دسترسی پیدا کرده و اقدام به عوض کردن API کنند
که به این صورت کل تراکنش های ورودی به حساب فرد نفوذگر انتقال می یابد
برای امنیت بیشتر کاربران و جلوگیری از کلاه برداری های اینترنتی ؛ کسانی که از درگاه پی لاین استفاده میکنند این اسکریپت را پاک کنند

اطلاعات بیشتر از این اکسپولیت
https://cxsecurity.com/issue/WLB-2016030106

تیم امنیتی جهش

نسخه چند آسان پرداخت پی لاین؟
نسخه 2 که تازه منتشر کردن؟
2016/03/21, 12:55 PM
Reza

به جای تخریب، با مدیران پی لاین صحبت کنید تا مشکل حل بشه.

نمیشه که به یه ملت یهو بگید پی لاین رو پاک کن :f:
2016/03/21, 01:19 PM
iAli

پی لاین که فعلا فیلتر شده.
خیلی ها از اون استفاده میکنند. یه مدت کار و کاسبیشون میخوابه.
2016/03/21, 01:22 PM
Soalfarsi

پی لاین بدون مشکل کار میکنه . بجای اسکریپتش از فرم هاش استفاده کنید . صد در صد سالم هستن :)
2016/03/21, 01:25 PM
mohandes alipor

حالا این تیم یه جهشی زد زیاد جدی نگیرید تا دیروز... هه

به جای اینکه جار بزنید و خود نمایی کنید بهتر بود با مدیریت سایت در میون میزاشتید تا کسی سو استفاده نکنه الان هر گونه سو استفاده ای بشه مقصر اصلی شما هستید و اینکه اینم چیز شاخی نیست که بزرگش کردید یه اسیب پذیری پیش پا افتاده هست بهتر بود به مدیریت اطلاع رسانی میکردید تا اینکه جار بزنید کارتون درست نبود موفق باشید بدرود
2016/03/21, 01:28 PM
iAli

نقل قول:

نوشته اصلی توسط Soalfarsi

پی لاین بدون مشکل کار میکنه . بجای اسکریپتش از فرم هاش استفاده کنید . صد در صد سالم هستن :)

البته با این اتفاقی که افتاده دیگه کاربراش را از دست میده. من کامل در جریان مشکل نیستم ولی توی فروم ها که میگردم خیلی ها همین که فهمیدن مشکلی پیش اومده برای این اسکریپت ترسیدن و به دنبال اسکریپت دیگه ای هستن.
2016/03/21, 01:59 PM
Soalfarsi

نقل قول:

نوشته اصلی توسط iAli

البته با این اتفاقی که افتاده دیگه کاربراش را از دست میده. من کامل در جریان مشکل نیستم ولی توی فروم ها که میگردم خیلی ها همین که فهمیدن مشکلی پیش اومده برای این اسکریپت ترسیدن و به دنبال اسکریپت دیگه ای هستن.

در هر صورت بدون مشکل کار میکنه :) منم ازش راضی هستم
2016/03/22, 10:09 AM
mohamadrad

خود تیم پی لاین که میگه اتفاقی اینجوری شده - یعنی اتفاقی فیلتر شده
حالا شنونده باید عاقل باشه دیگه خخخ
2016/03/22, 05:00 PM
curse

برای فیکس این باگ به مسیر زیر برید
admin/includes/class-login.php

دو خط زیر رو پیدا کنید

کد PHP:

$this->user = htmlspecialchars( trim( $_POST['user_name'] ) ); $this->pass = htmlspecialchars( trim( $_POST['user_pass'] ) );

تغییرش بدید به

کد PHP:

$this->user = $_POST['user_name']; $this->user = trim($this->user); $this->user = strip_tags($this->user); $this->user = mysql_real_escape_string($this->user); $this->pass = $_POST['user_pass']; $this->pass = trim($this->pass); $this->pass = strip_tags($this->pass); $this->pass = mysql_real_escape_string($this->pass);

نسخه آپدیت شده منتشر شده در اون این باگ و یه سری باگ های دیگه هم فیکس شده

https://www.#######.ir/docs/asan-pardakht.zip

اما باز هم پیشنهاد میشه از نسخه 1.8 استفاده کنید

موفق باشید

نمایش 40 پست از این موضوع در یک صفحه