Asp forum

01.06.2002

Selam arkadaşlar, ben yeni üye oldum.

Biraz geç oldu ama, bu yararlı forumuda keşfettim.

Neyse sorunuma geçeyim.

Anladığım kadarıyla site kurallarına göre site adımı burada yazamıyorum. Dünde admin arkadaşım onayladığında çok işim olduğu için site analizine yazdım çıktım.

Kısaca sorunum şu;

Ben forumlardaki arkadaşlar sayesinde ASP destekli olduğu için brinster; snitz forum 3.1 i kurduydum. 3.3 e geçirdim. Fakat eski üyeler giriş yapamıyordu.

Bu sırada bir forumda tanıştığım arkadaşım; bu forumu kullanma güvenliksiz dedi. Ve 2 dk da admin şifremi bana yazdı. Şok oldum.

Sizden isteğim; ya bu snitz'in güvenlik açığkapatabilirmiyim; yada ASP destekli brinster de çalışabilen hangi forumu tavsiye edersiniz.

Saygılarımla...

soul · 01.06.2002

Bu açıklar genellikle standarttır PHP Nuke, Vbulletin, UD user auth. sistemi vs. gibi klasik scriptlerin açıkları
http://neworder.box.sk tipi adreslerde yayınlanır.

Bunları kapamanın en iyi yolu scriptin en son versiyonunu bulmak yada bu açığı anlatan bir site bulup buradan bu açığı kapamanın yolunu da bulmaktır. (Genelde açık ile birlikte kapanma yoları da duyurulur)

Sorunun tam cevabıunı bilemiyorum ancak eğer kullandığın snitzin sıon versiyonu değilse son versiyonunu yükle ve snitz add-on sayfasına göz at. Snitzin orjinal forumlarında da buı konu ile ilgili bilgi bulabileceğinden eminim...

01.06.2002

Dediğim gibi ASP konusunda bilgim çok az. Forumlarda tanıştığım arkadaşlar yardımı ile kurdum.

Birde verdiğin site ingilizce; orj. siteside ing.ce ve oralardan tam yararlanamıyorum.

atiLLa · 01.06.2002

snitz gibi forumları kullanan arkadaşlar şunu unutabiliyor: snitz'in .mdb dosyasını default olarak neredeyse ve hangi isimle ise bırakıyorlar. akıllının biri de .mdb dosyasını indiriyor ve olan oluyor..

belki bundan da olabilir.

01.06.2002

arkadaş öyle yapmadı. O zaman alır.
Yani foruma gir dedim. Adresi verdim girdi, bakarken tak admin şifresini söyledi. Ama tamda bilemiyorum...

Bana http://www.vnbb.com

daki forumu önerdiler. Bu arada.

Snitz den bozma imiş. Ama daha güvenli ve daha fonksiyonlu yapılmış. Ama ing. ce. Bu forum'un tr sini yapan yada tr adresini bilen varsa yazarsa sevinirim...

blackinwhite · 03.06.2002

snitz'de baya açık var slında.

o arkadaşının sana yaptığı uyduruktan bir göstri imiş, memebrs.ASP sayfasından SQL injection'la FORUM_MEMBERS tablosunu listeyebiliyorsun Snitz v.3.03'ün.

bunun için patch var, zaten Richard bu açık ortaya çıktıktan hemen sonra(açığı bulan da yine bir Türk, acemi diye biri) Snitz'in sitesindeki mevcut forum sürümünü yeni yamalrla güncelledi.

Şu an için yapman gereken, gidip v.3.0.05'e yükseltmektir.

Onda yanlış hatırlamıyorsam sadece pop_profile.ASP, memebrs.ASP, post.ASP ve post_info.ASP dosyaları değiştirildi.

başka güvenlik açıkları da var ama, ben SQL injection'la ilgili birkaç link göndermişitim bu foruma, onlardan aşağı yukarı sorunun ne olduğunu anlayabilirsin.

sana tavsiyem, özellikle string değerlerinin numeric olup olmadığını kontrol edersen, SQL injectionla ilgili pek bir sorun kalmaz.

ha, güenlik açıklarından biri de cookies ile ilgiydi. Daha önce snitz'in pek çok syafasında kullanıcı verification'ı sadece cookies'deki isme bakılarak yapılıyordu.
Mesela, gizili forumlar oluşturdun, ve o forumu görmesini istediğin kullanıcıları seçtin. Sistem senin listede olup olmadığını anlamak için, cookies'ye bakıyor, eğer cookie'de yazan isim forumun izin verilenler listesinde varsa, sana o foruma erişim hakkı veriyordu. Bunu kendin bir cookies üreterek çok kolay aşabilirsin mesela. işte yamalardan biri de bunu hallediyor. (yani basitçe, vt'nından extra bir cross-check ypıyor)

ama kafana takma yani, arkadaşının yaptığı biraz zibidilik aslında. Özellikle snitz'deki bu sn açığı sağır sultan bile duydu, her yerde bunu nasıl kötü amaçlarla kullanabileceğin var. Ama dediğim yamaları snitz'in sitesinden indirip yüklersen bir sorun kalmaz.

Extra tedbir olarak, snitz config.ASP dosyasından sana tabloların isimlerini değiştirebilme kolaylığı veriyor. Yani standart olarak, FORUM_MEMBERS olarak gelen tabloyu, istersen başka bir isimle değiştireilrisin, böylece en azından çaylakların sağdan soldan kopi-pest hekçilik oyunlarına maruz kalmazsın.

Son olarak, özellikle SQL injection'la ilgili, sitelerin çoğundan böyle bir açık var.

Daha önce, SQL injection'la ilgili mesajı o yüzden yollamıştım.

ay, yoruldum, devam ederim yine,..

(halledemezsen, yada bir sorun olursa haber ver

)

01.06.2002	#1 (permalink)
Maxxximus Mesaj: n/a	Asp forum Selam arkadaşlar, ben yeni üye oldum. Biraz geç oldu ama, bu yararlı forumuda keşfettim. Neyse sorunuma geçeyim. Anladığım kadarıyla site kurallarına göre site adımı burada yazamıyorum. Dünde admin arkadaşım onayladığında çok işim olduğu için site analizine yazdım çıktım. Kısaca sorunum şu; Ben forumlardaki arkadaşlar sayesinde ASP destekli olduğu için brinster; snitz forum 3.1 i kurduydum. 3.3 e geçirdim. Fakat eski üyeler giriş yapamıyordu. Bu sırada bir forumda tanıştığım arkadaşım; bu forumu kullanma güvenliksiz dedi. Ve 2 dk da admin şifremi bana yazdı. Şok oldum. Sizden isteğim; ya bu snitz'in güvenlik açığkapatabilirmiyim; yada ASP destekli brinster de çalışabilen hangi forumu tavsiye edersiniz. Saygılarımla...

01.06.2002	#2 (permalink)
soul Üyelik Tarihi: 13.07.2000 Yer: LND Mesaj: 4,279	Bu açıklar genellikle standarttır PHP Nuke, Vbulletin, UD user auth. sistemi vs. gibi klasik scriptlerin açıkları http://neworder.box.sk tipi adreslerde yayınlanır. Bunları kapamanın en iyi yolu scriptin en son versiyonunu bulmak yada bu açığı anlatan bir site bulup buradan bu açığı kapamanın yolunu da bulmaktır. (Genelde açık ile birlikte kapanma yoları da duyurulur) Sorunun tam cevabıunı bilemiyorum ancak eğer kullandığın snitzin sıon versiyonu değilse son versiyonunu yükle ve snitz add-on sayfasına göz at. Snitzin orjinal forumlarında da buı konu ile ilgili bilgi bulabileceğinden eminim... __________________ FERRUH.MAVİTUNA - İnanmıyorum, yeni site!

01.06.2002	#3 (permalink)
Maxxximus Mesaj: n/a	Sağol arkadaşım ama Dediğim gibi ASP konusunda bilgim çok az. Forumlarda tanıştığım arkadaşlar yardımı ile kurdum. Birde verdiğin site ingilizce; orj. siteside ing.ce ve oralardan tam yararlanamıyorum.

01.06.2002	#4 (permalink)
atiLLa Üyelik Tarihi: 18.07.2000 Yer: St.Petersburg Yaş: 25 Mesaj: 1,088	snitz gibi forumları kullanan arkadaşlar şunu unutabiliyor: snitz'in .mdb dosyasını default olarak neredeyse ve hangi isimle ise bırakıyorlar. akıllının biri de .mdb dosyasını indiriyor ve olan oluyor.. belki bundan da olabilir. __________________ gitmek biraz öLmektir der fransız şair.. . . .

01.06.2002	#5 (permalink)
Maxxximus Mesaj: n/a	Öyle olsa ok de arkadaş öyle yapmadı. O zaman alır. Yani foruma gir dedim. Adresi verdim girdi, bakarken tak admin şifresini söyledi. Ama tamda bilemiyorum... Bana http://www.vnbb.com daki forumu önerdiler. Bu arada. Snitz den bozma imiş. Ama daha güvenli ve daha fonksiyonlu yapılmış. Ama ing. ce. Bu forum'un tr sini yapan yada tr adresini bilen varsa yazarsa sevinirim...

03.06.2002	#6 (permalink)
blackinwhite Üyelik Tarihi: 21.10.2000 Yer: Istanbul, Türkiye Yaş: 28 Mesaj: 1,995	snitz'de baya açık var slında. o arkadaşının sana yaptığı uyduruktan bir göstri imiş, memebrs.ASP sayfasından SQL injection'la FORUM_MEMBERS tablosunu listeyebiliyorsun Snitz v.3.03'ün. bunun için patch var, zaten Richard bu açık ortaya çıktıktan hemen sonra(açığı bulan da yine bir Türk, acemi diye biri) Snitz'in sitesindeki mevcut forum sürümünü yeni yamalrla güncelledi. Şu an için yapman gereken, gidip v.3.0.05'e yükseltmektir. Onda yanlış hatırlamıyorsam sadece pop_profile.ASP, memebrs.ASP, post.ASP ve post_info.ASP dosyaları değiştirildi. başka güvenlik açıkları da var ama, ben SQL injection'la ilgili birkaç link göndermişitim bu foruma, onlardan aşağı yukarı sorunun ne olduğunu anlayabilirsin. sana tavsiyem, özellikle string değerlerinin numeric olup olmadığını kontrol edersen, SQL injectionla ilgili pek bir sorun kalmaz. ha, güenlik açıklarından biri de cookies ile ilgiydi. Daha önce snitz'in pek çok syafasında kullanıcı verification'ı sadece cookies'deki isme bakılarak yapılıyordu. Mesela, gizili forumlar oluşturdun, ve o forumu görmesini istediğin kullanıcıları seçtin. Sistem senin listede olup olmadığını anlamak için, cookies'ye bakıyor, eğer cookie'de yazan isim forumun izin verilenler listesinde varsa, sana o foruma erişim hakkı veriyordu. Bunu kendin bir cookies üreterek çok kolay aşabilirsin mesela. işte yamalardan biri de bunu hallediyor. (yani basitçe, vt'nından extra bir cross-check ypıyor) ama kafana takma yani, arkadaşının yaptığı biraz zibidilik aslında. Özellikle snitz'deki bu sn açığı sağır sultan bile duydu, her yerde bunu nasıl kötü amaçlarla kullanabileceğin var. Ama dediğim yamaları snitz'in sitesinden indirip yüklersen bir sorun kalmaz. Extra tedbir olarak, snitz config.ASP dosyasından sana tabloların isimlerini değiştirebilme kolaylığı veriyor. Yani standart olarak, FORUM_MEMBERS olarak gelen tabloyu, istersen başka bir isimle değiştireilrisin, böylece en azından çaylakların sağdan soldan kopi-pest hekçilik oyunlarına maruz kalmazsın. Son olarak, özellikle SQL injection'la ilgili, sitelerin çoğundan böyle bir açık var. Daha önce, SQL injection'la ilgili mesajı o yüzden yollamıştım. ay, yoruldum, devam ederim yine,.. (halledemezsen, yada bir sorun olursa haber ver ) __________________ ::: e? - Online Yaşam ve Tasarım Kültürü Sorunuz belki çoktan cevaplanmıştır? Faydalı: W3 - MACCAWS - WaSP

Sponsorlu Bağlantılar
Zoque.Forum Reklam