Public disclosure: Linkuj.cz SQL Injection

Vložil/a Jakub Suchý, 18 Červenec, 2007 - 00:11

Známá a již stará SQL Injection v Social Networking webu Linkuj.cz.

Problém: SQL Injection webu Linkuj.cz
Nebezpečnost: střední
Majitel kontaktován: 26.3.2007 (1 odpověď), 26.6.2007 (0), 15.7.2007 (0)

Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' AND links.top_link IS NOT NULL AND DAT' at line 5

Klikněte pro detail

P.S.: Ač věřím na Full disclosure, neprovedu ho, jelikož chyba stále není opravena i po dvou urgencích. Bohužel zveřejnění je teď asi poslední možností jak docílit opravení chyby (a teoreticky tak bezpečnosti i mých dat, např. hesla).

P.S2.: Martine, obávám se, že Linkuj začíná říkat své poslední slovo? Oprava chyb, bury jako ochrana proti spammerům typu dumfinanci v nedohlednu. Není čas předat štafetu dál, dokud není pozdě?

P.S3.: Thanks to Jarda Vorlíček za konzultace

About the author

Jakub Suchý je provozovatelem projektu Drupal.cz. Je členem Drupal Security Teamu, vytvořil několik volně dostupných modulů a také se Drupalem živí.

Jakub Suchý's blog

Poslat nový komentář

Články

šablony a vzhled bezpečnost CCK drupal drupal.cz drupalcon galerie image moduly navod ostatní případové studie překlad php pro webmastery reklama setkání, akce taxonomy tipy & triky UberCart vývoj drupalu views workshop začátečníci

Hledat

Přihlášení

Drupal.cz

Hlavní navigace