Autor Topic: bug inyeccion webengine  (Visto 1489 veces)

0 Miembros and 1 Guest are viewing this topic.

Offline Hoxter on: November 05, 2017, 08:26:42 PM

  • *
  • Rank: Principiante
  • Posts: 3
  • Gracias recibida: 0





Me hackearon mi webengine, el hacker me envio esta imagen, por favor necesito ayuda, me borraron toda mi base de datos.

Si alguien conoce algun link para visualizar archivos .json :(

 :( :( :( :(
« Ultima edicion: November 07, 2017, 04:15:10 AM by SChymare »

Offline Odisk #1 on: November 05, 2017, 08:37:42 PM

  • Colaborador
  • *
  • Rank: Puto amo
  • Posts: 231
  • Gracias recibida: 1183
te recomiendo que uses otra web. asi sea mucore o mvcore....

tenias respaldo de la base datos ?
♫♥

Offline Hoxter #2 on: November 05, 2017, 08:47:10 PM

  • *
  • Rank: Principiante
  • Posts: 3
  • Gracias recibida: 0
No men no tengo backup de nada, es un puto hacker que sabe mucho

Offline SChymare #3 on: November 05, 2017, 10:58:47 PM

  • *
  • *
  • Rank: Puto amo
  • Posts: 329
  • Gracias recibida: 1982
revisa el archivo .htaccess


Offline EmmaDCG #4 on: November 06, 2017, 09:27:20 AM

  • *
  • Rank: Puto amo
  • Posts: 243
  • Gracias recibida: 2545
No men no tengo backup de nada, es un puto hacker que sabe mucho

estas usando Webhosting o la tienes instalada en el VPS/PCHost??

Offline Lautaro #5 on: November 06, 2017, 11:36:10 PM

  • *
  • Rank: Principiante
  • Posts: 4
  • Gracias recibida: 5
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro

Gracias:


Offline Hoxter #6 on: November 07, 2017, 01:50:21 PM

  • *
  • Rank: Principiante
  • Posts: 3
  • Gracias recibida: 0
Men no subi ningun archivo, estan usando una web remota para ver archivos .json, protegidos con .htaccess   :(

Offline pquintal #7 on: November 07, 2017, 01:52:14 PM

  • *
  • Rank: Principiante
  • Posts: 7
  • Gracias recibida: 9
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro

parece que no entendistes la imagen que esta mostrando que usan una web remota para ver archivos de extecion json que esta vulnerando el .htacces por que si tratas de visualizar directo por la ruta no permite el htacces pero usando esa web remota si lo permite

Offline caron22 #8 on: November 07, 2017, 03:13:44 PM

  • C++ Coder
  • *
  • Rank: Puto amo
  • Posts: 444
  • Gracias recibida: 546
No men no tengo backup de nada, es un puto hacker que sabe mucho
Por mas que sepa mucho poco o nada la responsavilidad del backup diario es tuya.
Te recomiendo que cambies de web y que implementes un sistema de backup que te suba a un ftp diariamente los backups.

Para mi esa es tu web, usas https? porque veo que posiblemente te lograron subir un shell
« Ultima edicion: November 07, 2017, 03:21:18 PM by caron22 »
El halago en exceso, debilita y, en su justa medida, motiva
https://www.youtube.com/channel/UCN14tZ3cPSFaseVo8V6SL2g?view_as=subscriber

Offline caron22 #9 on: November 07, 2017, 03:26:31 PM

  • C++ Coder
  • *
  • Rank: Puto amo
  • Posts: 444
  • Gracias recibida: 546
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro

parece que no entendistes la imagen que esta mostrando que usan una web remota para ver archivos de extecion json que esta vulnerando el .htacces por que si tratas de visualizar directo por la ruta no permite el htacces pero usando esa web remota si lo permite

No veo indicios de que se use una web remota.  Aguardo tus fundamentos de la web remota.
El halago en exceso, debilita y, en su justa medida, motiva
https://www.youtube.com/channel/UCN14tZ3cPSFaseVo8V6SL2g?view_as=subscriber

Offline pquintal #10 on: November 07, 2017, 07:19:07 PM

  • *
  • Rank: Principiante
  • Posts: 7
  • Gracias recibida: 9
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro

parece que no entendistes la imagen que esta mostrando que usan una web remota para ver archivos de extecion json que esta vulnerando el .htacces por que si tratas de visualizar directo por la ruta no permite el htacces pero usando esa web remota si lo permite

No veo indicios de que se use una web remota.  Aguardo tus fundamentos de la web remota.

fundamento no ves que te esta mostrando la web remota  y la direcion url de el despues del que ase que permita ver el contenido su web es mu-raies.ml

Offline conejowolf #11 on: November 07, 2017, 11:38:11 PM

  • *
  • Rank: Principiante
  • Posts: 0
  • Gracias recibida: 1090
En serio los dos unicos "programadores" que comentaron este thread no se dieron cuenta que se usa una web remota para leer el .json y los que no somos programadores si nos dimos cuenta?
¡ Que barbaridad !

Fijense, que el muchacho "hacker" tapa la url de la direccion remota, la cual está usando para mirar el .json de la web mu-aries.ml

No se crear cosas, no soy PROGRAMADOR.
Se romper las cosas, empezando a ser CRACKER

Offline splound #12 on: November 08, 2017, 01:12:42 AM

  • C++ Coder
  • *
  • Rank: Avanzado
  • Posts: 145
  • Gracias recibida: 302
Cuando abriste el puerto 1433 para conectarte remotamente a el SQL Server lo restringiste para que solo pudiera escuchar la ip del hosting ? En caso de que sea afirmativo el individuo(hacker) que te hackeo la base de datos es cliente del mismo hosting que tú en caso contrario pongase a leer y ver tutoriales de administracion de servidores. Lo recomendable seria alquilar un VPS y configurarlo para que sirvas tu pagina (solamente la pagina) desde alli. Asi el atacante tenga el ip,usuario y contraseña de tu sql al tener restringida la conexion de tu sql server este no se podra conectar y no podra hacerte daño. Siempre es bueno estudiar y analizar un poco con lo que estamos trabajando pero la mayoria estan acostumbrados a que le den todo gratis, files, antihack, web, etc.

Offline biaku #13 on: November 08, 2017, 01:52:44 AM

  • Php Coder
  • *
  • *
  • Rank: Destacado
  • Posts: 87
  • Gracias recibida: 327
En serio los dos unicos "programadores" que comentaron este thread no se dieron cuenta que se usa una web remota para leer el .json y los que no somos programadores si nos dimos cuenta?
¡ Que barbaridad !

Fijense, que el muchacho "hacker" tapa la url de la direccion remota, la cual está usando para mirar el .json de la web mu-aries.ml

entonces "hackearlo" utilizando Cross-site scripting
Desarrollador web, aficionado de los mmorpg

Offline RoldanHost #14 on: November 08, 2017, 04:05:46 AM

  • *
  • Rank: Usuario activo
  • Posts: 63
  • Gracias recibida: 170
Bueno estimados, les comento lo siguiente.

La vulnerabilidad parte desde los WebHosting, ya que la mayoria solo funcionan con HTTP/1.1. Lo que hacen estas personas es navegar en un proxy con http/2 el cual si el cpanel de sus webhost no lo tienen activado, pues el .htaccess no sirve de nada dejando vulnerable la pagina.

Osea que si alguien navega bajo http2 los permisos asignados bajo HTTP/1.0 y HTTP/1.1  que tiene el htacces no tiene efecto sobre htt2 HTTP/2.0.

Hacen peticiones GETS (No GET), ejemplo:



Citar
tsavo:~ mcd$ telnet devel.mia 80
Trying x.x.x.x...
Connected to xxxxxxx.xxx.
Escape character is '^]'.
GETS /htpasstest/ HTTP/1.0

HTTP/1.1 501 Method Not Implemented
Date: Fri, 10 Dec 2010 21:53:58 GMT
Server: Apache
Allow: GET,HEAD,POST,OPTIONS,TRACE
Vary: Accept-Encoding
Content-Length: 227
Connection: close
Content-Type: text/html; charset=iso-8859-1




1.2.3.4 - - [07 / Nov / 2017: 22: 15: 41 -0500] "GETS /admin/index.php HTTP / 1.1" 200 3505 "-" "Mozilla / 5.0 (Windows; U; Windows NT 6.1; en-US; rv: 1.9.2.12) Gecko / 20101026 Firefox / 3.6.12 "
1.2.3.4 - - [07 / Nov / 2017: 22: 17: 09 -0500] "GETS /admin/usermanagement.php HTTP / 1.1" 200 99320 "-" "Mozilla / 5.0 (Windows; U; Windows NT 6.1; en-US; rv: 1.9.2.12) Gecko / 20101026 Firefox / 3.6.12 "
1.2.3.4 - - [07 / Nov / 2017: 22: 18: 05 -0500] "GETS /admin/index.php HTTP / 1.1" 200 3510 "-" "Mozilla / 5.0 (Windows; U; Windows NT 6.1; en-US; rv: 1.9.2.12) Gecko / 20101026 Firefox / 3.6.12 "



-----------------------------------------------------------------------------------------

¿Solucion?

CPanel esta actualizando a HTTP/2. Deben avisar a los de su host que deben activar este modulo que cpanel ya lo tiene.




Como bypassean el htaccess, pueden inyectar... pude comprobar que hacen pruebas en el cron.php y luego aparecen en el admincp..... de alguna forma logran entrar al admincp y desde ahi hacen inyecciones.





« Ultima edicion: November 08, 2017, 04:49:06 AM by RoldanHost »

Gracias:


Offline Lautaro #15 on: November 09, 2017, 01:52:42 AM

  • *
  • Rank: Principiante
  • Posts: 4
  • Gracias recibida: 5
Si no configuraste correctamente Apache para que funcionaran los .htaccess entonces no es una vulnerabilidad de WebEngine.

Offline pquintal #16 on: November 09, 2017, 08:18:23 AM

  • *
  • Rank: Principiante
  • Posts: 7
  • Gracias recibida: 9
Si no configuraste correctamente Apache para que funcionaran los .htaccess entonces no es una vulnerabilidad de WebEngine.

no tiene nada que ver con la configuracion ya la probe en hosting logicamente con navegador proxy con http2 el .htacces se queda sin privilegios y pasa a aser un archivo mas y deja visualizar los archivos una solucion seria poner un index en blanco en las sub carpetas para que no deje ver contenido y cambiar el webengine.json con otro nombre. pero hay otro bug mas grabe se puede usar acceder al admincp usando cokies de la web y la forma de aser la injecion es por el admincp formulario de character

NOTA:problema de .htacces sin privilegiosen http2 no es problema de configuracion usario en cpanel es error de cpanel su ultima actualizacion ya esta reportado esperar que cpanel fixee en su proximo update o  los dueños de los host cambien manual mente los permisos con usuario root
« Ultima edicion: November 09, 2017, 08:21:06 AM by pquintal »

Offline Aяcαиgєℓ #17 on: November 09, 2017, 10:07:34 AM

  • *
  • Rank: Avanzado
  • Posts: 138
  • Gracias recibida: 162
Si no configuraste correctamente Apache para que funcionaran los .htaccess entonces no es una vulnerabilidad de WebEngine.

Si usas .htaccess para proteger y entre otras, entonces si es vulnerable la web saco wea...
Lo mismo que tener un guardia que te protege, pero la base es vulnerable... ¿Entiende? Si este guardia no está su base es sujeto ataques.

Saco wea.

Offline Lautaro #18 on: November 11, 2017, 04:17:34 PM

  • *
  • Rank: Principiante
  • Posts: 4
  • Gracias recibida: 5
pero hay otro bug mas grabe se puede usar acceder al admincp usando cokies de la web y la forma de aser la injecion es por el admincp formulario de character

Sin prueba de que esto es posible no me dejas darte el beneficio de la duda, un comentario asi sin fundamentos no sirve de nada.

no tiene nada que ver con la configuracion ya la probe en hosting logicamente con navegador proxy con http2 el .htacces se queda sin privilegios y pasa a aser un archivo mas y deja visualizar los archivos una solucion seria poner un index en blanco en las sub carpetas para que no deje ver contenido y cambiar el webengine.json con otro nombre.

Si usas .htaccess para proteger y entre otras, entonces si es vulnerable la web saco wea...
Lo mismo que tener un guardia que te protege, pero la base es vulnerable... ¿Entiende? Si este guardia no está su base es sujeto ataques.

Saco wea.

Me vas a decir que entonces XenForo, que usa .htaccess para restringir el acceso a directorios privados, es tambien un sistema vulnerable?

La configuracion apropiada de los .htaccess es algo basico que cualquier administrador web debe saber hacer, si no pueden hacer eso (o al menos testear que esten funcionando correctamente) entonces les recomiendo que busquen a aguien que los ayude con la administracion de su web, o que simplemente se asesoren antes de lanzar una web en produccion.

¿Entiende? Si este guardia no está su base es sujeto ataques.

El "guardia" lo pone el administrador web, si como administrador no puedes ver que no tienes a tu guardia protegiendote entonces porvafor dale tu tarea a alguien mas.

Offline conejowolf #19 on: November 11, 2017, 06:26:30 PM

  • *
  • Rank: Principiante
  • Posts: 0
  • Gracias recibida: 1090
pero hay otro bug mas grabe se puede usar acceder al admincp usando cokies de la web y la forma de aser la injecion es por el admincp formulario de character

Sin prueba de que esto es posible no me dejas darte el beneficio de la duda, un comentario asi sin fundamentos no sirve de nada.

no tiene nada que ver con la configuracion ya la probe en hosting logicamente con navegador proxy con http2 el .htacces se queda sin privilegios y pasa a aser un archivo mas y deja visualizar los archivos una solucion seria poner un index en blanco en las sub carpetas para que no deje ver contenido y cambiar el webengine.json con otro nombre.

Si usas .htaccess para proteger y entre otras, entonces si es vulnerable la web saco wea...
Lo mismo que tener un guardia que te protege, pero la base es vulnerable... ¿Entiende? Si este guardia no está su base es sujeto ataques.

Saco wea.

Me vas a decir que entonces XenForo, que usa .htaccess para restringir el acceso a directorios privados, es tambien un sistema vulnerable?

La configuracion apropiada de los .htaccess es algo basico que cualquier administrador web debe saber hacer, si no pueden hacer eso (o al menos testear que esten funcionando correctamente) entonces les recomiendo que busquen a aguien que los ayude con la administracion de su web, o que simplemente se asesoren antes de lanzar una web en produccion.

¿Entiende? Si este guardia no está su base es sujeto ataques.

El "guardia" lo pone el administrador web, si como administrador no puedes ver que no tienes a tu guardia protegiendote entonces porvafor dale tu tarea a alguien mas.

Lautaro no se para que te molestas en responderle a alguien que te dice "saco wea" y a alguien que escribe "aser" en vez de hacer, dos veces...

Esta mas que claro que el problema es del hosting, y no de la web engine, si fuera de la web engine habrian miles de servers hackeados, como lo fue cuando usaban la web kchorro o la muweb q ambas no tenian proteccipn contra injection sql, pero en este caso es problema del hosting del muchacho, no de la web.

De todos modos te repito, no se porque te molestas en responderle a gente q te falta el respeto..

No se crear cosas, no soy PROGRAMADOR.
Se romper las cosas, empezando a ser CRACKER

 

Related Topics

  Subject / Started by Replies Last post
WebEngine 1.0.9

Started by Joaquin « 1 2 » CMSWebs

20 Replies
2436 Views
Last post September 09, 2018, 11:40:57 PM
by punkxista
0 Replies
124 Views
Last post April 07, 2018, 11:38:53 AM
by Kamilek97
2 Replies
147 Views
Last post September 10, 2018, 12:03:41 PM
by dohko
4 Replies
155 Views
Last post July 12, 2018, 07:06:05 PM
by alfredosp
2 Replies
125 Views
Last post July 24, 2018, 08:47:22 PM
by inax123