رفتن به مطلب

پست های پیشنهاد شده

اگر واسه دانلود فایلی توی گوگل سرچی کرده باشید متوجه میشید که بعضی از سایت ها از صفحه ای واسه دانلود کردن فایل به وسیله کاربر استفاده میکنند.

از اونجایی که توی بیشتر موارد ورودی ها چک نمیشه و کاربر میتونه هر فایلی رو که بخواد دانلود کنه موجب هک شدن سایت میشه.


وقتی که ورودی ها کنترل نشن و کاربر اجازه دانلود هر فایلی رو داشته باشه میتونه فایل های مهم از جمله کانفیگ وب سایت رو دانلود کنه و به صورت Remote به دیتابیس دسترسی پیدا کنه و با عوض کردن پسورد مدیر سایت از توی دیتابیس اقدام به هک کردن و تغییر چهره وب سایت کنه.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

telegram channel   jazbe modir

نمونه از یک سایت وردپرسی با باگ LFD 

که امکان دانلود فایل کانفیگ وردپرس را به نفوذگر میدهد.

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید


در داخل فایل wp-config.php معمولا پسورد دیتابیس یا بانک اطلاعاتی سایت قرار دارد که نفوذگر با بدست اوردن این پسورد ها اقدام به هک دیتابیس و تغییر چهره سایت خواهد نمود
 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

در ادرس بالا مدیر سایت وردپرسی اقدام به ایجاد یک صفحه برای دانلود فایل های pdf کرده است که به دلیل فیلتر نشدن فرمت ها نفوذگر میتواند به راحتی به فایل های امنیتی از جمله فایل کانفیگ دسترسی و امکان دانلود داشته باشد. و با استفاده از این اسیب پذیری سایت به راحتی مورد نفوذ قرار میگرد.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

 دوستان عزیز باگ LFD یا Local File Download بیشتر در پوسته ها و پلاگین هایی که قابلیت دانلود فایل را به کاربران میدهد وجود دارد و همچنین در فایل هایی

که در ان ها از توابعی مانند $filename و افزونه های file manager دیده شده است

برای رفع این اسیب پذیری کافی است که فرمت قابل دانلود را تنظیم کنید و هر فرمتی قابل دانلود نباشد.

نمونه چند سایت دیگر با باگ LFD 

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید


اخرین باگ LFD از وردپرس مربوط به اسیب پذیری پلاگین محبوب و معروف revslider بوده است.
 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری


×