Virüs Güvenlik Haberleri » PHP Shop “admin_username” SQL Injection güvenlik açığı http://www.virusguvenlik.com Virüs Güvenlik Haberleri. Tue, 09 Feb 2010 07:09:56 +0000 http://wordpress.org/?v=2.9 en hourly 1 PHP Shop “admin_username” SQL Injection güvenlik açığı http://www.virusguvenlik.com/2008/12/16/php-shop-admin_username-sql-injection-guvenlik-acigi/ http://www.virusguvenlik.com/2008/12/16/php-shop-admin_username-sql-injection-guvenlik-acigi/#comments Mon, 15 Dec 2008 22:02:00 +0000 editor http://www.virusguvenlik.com/?p=496 login.phpi dosyasında admin_username parametresine geçirilen girişler SQL sorgularında kullanılmadan önce doğru olarak filtrelenmiyor. Bu sayede istenilen SQL kodları enjekte edilerek SQL sorgularında değişiklik yapılabilir ve istenilen sorgular SQL veritabanı sunucusunda çalıştırılabilir.

Açığın 1.0 sürümünü etkilediği rapor edilmiş fakat diğer sürümler de etkileniyor olabilir.

Çözüm: Girişleri doğru olarak filtrelemek için kaynak kodunda değişiklik yapın.

]]> http://www.virusguvenlik.com/2008/12/16/php-shop-admin_username-sql-injection-guvenlik-acigi/feed/ 0 PHP Shop “admin_username” SQL Injection http://www.virusguvenlik.com/2008/12/09/php-shop-admin_username-sql-injection/ http://www.virusguvenlik.com/2008/12/09/php-shop-admin_username-sql-injection/#comments Tue, 09 Dec 2008 14:50:22 +0000 secure http://www.virusguvenlik.com/?p=311 login.phpi dosyasında admin_username parametresine geçirilen girişler SQL sorgularında kullanılmadan önce doğru olarak filtrelenmiyor. Bu sayede istenilen SQL kodları enjekte edilerek SQL sorgularında değişiklik yapılabilir ve istenilen sorgular SQL veritabanı sunucusunda çalıştırılabilir.

Açığın 1.0 sürümünü etkilediği rapor edilmiş fakat diğer sürümler de etkileniyor olabilir.

Çözüm: Girişleri doğru olarak filtrelemek için kaynak kodunda değişiklik yapın.

Açığı bulan: ZoRLu

http://milw0rm.com/exploits/7025

]]> http://www.virusguvenlik.com/2008/12/09/php-shop-admin_username-sql-injection/feed/ 0