Go Back   Diễn Đàn Bo-Blog Việt Nam > Bo-Blog > Tutorial



About Me
Your Avatar

 
Trả lời Gởi Ðề Tài Mới
 
Ðiều Chỉnh Kiếm Trong Bài
  #1  
Old 14-10-2014, 05:30 PM
aboq's Avatar
aboq is offline
Member
 
Tham gia ngày: Dec 2012
Bài gởi: 57
Default Hướng dẫn Fix lỗi SQLi và XSS bị bỏ quên của Bo-blog

Lỗi nãy mình search được trên google đã xuất hiện từ trước tháng 20/8/2013. Lúc đó mình có thử khai thác vài site nhưng không được kết quả gì. Dĩ nhiên bug là thế, nhưng code cũng đã lọc và chặn rất kĩ. Sau thời gian mình nghĩ là admin code bo-blog sẽ fix, nhưng nó thật sự bị lãng quên rồi.
Click the image to open in full size.
Tuy nhiên để đảm bảo là website được vận hành trơn tru và không có sự cố j đáng tiếc, mình nghĩ các bạn nên tạm fix lại 2 lỗi cơ bản này. Trước tiên mình sẽ demo 2 lỗi này đã:

Click the image to open in full size.

Bạn có thể tự check web của bạn = câu lệnh sau
SQLI:
domain.com/view.php?go=userlist&ordered=1%27

XSS:
domain.com/view.php?go=userlist&ordered=1&usergroup=";><SCRIPT>alert(String.fromCharCode(67,104,101,99,107,32,98,117,103,32,98,121,32,67,111,100,101,118,108,46,110,101,116))</SCRIPT>


Để fix được 2 lỗi này mình sẽ làm theo cách đơn giản nhất, các bạn mở file inc/mod_view.php ra.
Tìm dòng
if ($ordered!=='')
Thêm vào trước dòng đó
$ordered = str_replace("-","",intval($ordered));

Tìm dòng
$queryplus=($usergroup==="")
Thêm vào trước dòng đó
$usergroup = str_replace("-","",intval($usergroup));

Như vậy là tạm ổn, bài viết bởi Kakalot from Codevl.net - Copy nhớ ghi nguồn cho cái công viết của mình, thanks.
Nguồn: http://codevl.net/Fix-loi-SQLi-va-XS...n-cua-Bo-blog/
Chữ ký của aboq wWw.NeuCan.Net - My Blog's
Trả Lời Với Trích Dẫn
Trả lời Gởi Ðề Tài Mới

Tags
bị, bỏ, bo-blog, của, codevl.net, dẫn, fix, hướng, lỗi, quên, sqli, , xss

Ðiều Chỉnh Kiếm Trong Bài
Kiếm Trong Bài:

Kiếm Chi Tiết

Chuyển đến


Múi giờ GMT. Hiện tại là 08:38 AM.
Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
vdata

Bo-Blog Việt Nam

Bo-blog
9.9 10 13259