/
  • Yii Framework 1.1.8 Search SQL Injection Vulnerability

  • صفحه‌ها (5):
  • ارسال پاسخ   امتیاز موضوع:
    • 0 رأی - میانگین امیتازات: 0
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی Yii Framework 1.1.8 Search SQL Injection Vulnerability
    نویسنده پیام
    zoghal آفلاین
    صالح سوزنچی
    *****

    ارسال‌ها: 1,766
    تاریخ عضویت: ۱۳۸۷ دي ۲۵
    اعتبار: 23
    تشکرها : 1500
    ( 1729 تشکر در 992 ارسال )
    ارسال: #1
    Yii Framework 1.1.8 Search SQL Injection Vulnerability
    تحویل بگیرید. آخرش هست ها چون 0day هست
    کد:
    http://www.1337day.com/exploit/description/19778
    ۱۳۹۱ آذر ۳ ۰۸:۲۶ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    phpveteran آفلاین
    رامين فرماني
    *******

    ارسال‌ها: 266
    تاریخ عضویت: ۱۳۸۸ خرداد ۱۴
    اعتبار: 14
    تشکرها : 11
    ( 514 تشکر در 204 ارسال )
    ارسال: #2
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    صالح جان برادر هر چی خوندی زود قبول نکن یه احمقی یه حرفی زده شما یکم سرچ کن بعد بیا اینجا بقیه را به بی راهه ببر Smile
    http://www.yiiframework.com/forum/index....ntry182276

    وقتی توسعه دهنده احمقه فریم ورک چه کار کنه.
    به لحاظ امنیت مطمئن ترین فریم ورک موجود به لحاظ فیچرهای درون ساز قطعاً Yii در مقام اول
    __________________________________________________________________________
    ۱۳۹۱ آذر ۳ ۱۰:۵۱ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : faghani
    admin آفلاین
    وحید سهرابلو
    **********

    ارسال‌ها: 5,697
    تاریخ عضویت: ۱۳۸۷ آذر ۲۴
    اعتبار: 100
    تشکرها : 1362
    ( 6197 تشکر در 3438 ارسال )
    ارسال: #3
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    اما اگر هم باگ واقعی بود دلیلی بر ضعف نیست. باگ امنیتی همیشه وجود داره.

    رامین مطمئنی به لحاظ امنیت YII در مقام اول هست؟ دلیلت چیه؟
    __________________________________________________________________________
    http://mydolphin.ir
    ۱۳۹۱ آذر ۴ ۰۸:۴۶ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : shgninc
    phpveteran آفلاین
    رامين فرماني
    *******

    ارسال‌ها: 266
    تاریخ عضویت: ۱۳۸۸ خرداد ۱۴
    اعتبار: 14
    تشکرها : 11
    ( 514 تشکر در 204 ارسال )
    ارسال: #4
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    (۱۳۹۱ آذر ۴ ۰۸:۴۶ عصر)admin نوشته شده توسط:  اما اگر هم باگ واقعی بود دلیلی بر ضعف نیست. باگ امنیتی همیشه وجود داره.

    رامین مطمئنی به لحاظ امنیت YII در مقام اول هست؟ دلیلت چیه؟

    آره وحید جان در مقام اول
    تو پاسخم توضیح دادم چرا و اون دلیلش توابع درون ساز بود نه ذات فریم ورک.
    صالح و بقیه دوستان این انجمن توجه کنند که به طور کلی تا به حال چیزی به نام حفره امنیتی تو هیچ کدوم از فریم ورک ها دیده نشده به جز موردی که در یکی از نسخ روبی وجود داشت.
    استفاده کردن از فریم ورک تا حدی امنیت پروژه ها را ارتقا می ده اما اگر کسی به درستی از امکانات استفاده نکنه این به معنی ایراد داشتن فریم ورک یا حفره دار بودن اون نیست.
    در مورد پاسخ شما وحید جان دلیل بنده صرفاً فیچر های درون ساز بود که در مقابل اکثر حملات متداول ایمن شده است. خلاصه ای از این موارد در لینک زیر قرار داده شده.
    http://www.yiiframework.com/doc/guide/1....s.security
    البته لازم به ذکر نیست! که عرض بنده به این معنی نیست که اگر کدی با Yii نوشته بشه از بقیه فریم ورک ها امن تر هست صرفاً‌ عرض کردم امکاناتی که برای موارد امنیتی در Yii به صورت درونساز گنجانده شده در کمتر فریم ورکی وجود داره اما احتمالا برای آن فریم ورک ها هم اکستنشن ها و موارد گوناگونی برای این ایمن سازی ها وجود داره و یا اینکه در مستندات هشدارهای لازم به کاربران داده شده
    __________________________________________________________________________
    ۱۳۹۱ آذر ۴ ۰۸:۵۳ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : Reza
    zoghal آفلاین
    صالح سوزنچی
    *****

    ارسال‌ها: 1,766
    تاریخ عضویت: ۱۳۸۷ دي ۲۵
    اعتبار: 23
    تشکرها : 1500
    ( 1729 تشکر در 992 ارسال )
    ارسال: #5
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    اوف بابا چقدر سخت میگیرید. من یک آسیب پذیری رو اطلاع رسانی کردم. و هیچ منظوری از بد یا خوب بودن این فریم ورک نبوده. چون کلا از نظر من این فریم ورک جز مردگان حساب میشه. چه بخواد در زمان خودش قوی باشه یا نباشه.

    مطئنا اگر از زند یا کیک یا هر چیز دیگری که دوستان باهاش کار میکنند آسیب پذیری پیدا بشه اینجا اطلاع رسانی می کنم. چون جدیدا زدم تو این گرایش امنیت و نفوذ.

    حالا اگر مشکلی دارید بگید من این تاپیک رو حذف می کنم و دیگه اطلاع رسانی نمی کنم.
    ۱۳۹۱ آذر ۴ ۱۱:۲۵ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    phpveteran آفلاین
    رامين فرماني
    *******

    ارسال‌ها: 266
    تاریخ عضویت: ۱۳۸۸ خرداد ۱۴
    اعتبار: 14
    تشکرها : 11
    ( 514 تشکر در 204 ارسال )
    ارسال: #6
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    (۱۳۹۱ آذر ۴ ۱۱:۲۵ عصر)zoghal نوشته شده توسط:  اوف بابا چقدر سخت میگیرید. من یک آسیب پذیری رو اطلاع رسانی کردم. و هیچ منظوری از بد یا خوب بودن این فریم ورک نبوده. چون کلا از نظر من این فریم ورک جز مردگان حساب میشه. چه بخواد در زمان خودش قوی باشه یا نباشه.

    مطئنا اگر از زند یا کیک یا هر چیز دیگری که دوستان باهاش کار میکنند آسیب پذیری پیدا بشه اینجا اطلاع رسانی می کنم. چون جدیدا زدم تو این گرایش امنیت و نفوذ.

    حالا اگر مشکلی دارید بگید من این تاپیک رو حذف می کنم و دیگه اطلاع رسانی نمی کنم.

    آره صالح هم این تاپیک را حذف کن هم دیگه اطلاع رسانی نکن. این کارت باعث می شه بچه فکر کنن مشکل از فریم ورک ها اصلا اطلاع رسانی بی خودی هست این کار. هر روز هزاران سایت هک می شن این ارتباطی به فریم ورکی که سایت باهاش نوشته شده نداره
    __________________________________________________________________________
    ۱۳۹۱ آذر ۵ ۱۲:۰۸ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : Reza
    Reza آفلاین
    رضا شیخله
    *****

    ارسال‌ها: 3,024
    تاریخ عضویت: ۱۳۹۰ آبان ۱۶
    اعتبار: 133
    تشکرها : 2724
    ( 2715 تشکر در 1691 ارسال )
    ارسال: #7
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    داش صالح اطلاع رسانی میکنی ممنون .
    اما اینی که میگی
    نقل قول: تحویل بگیرید. آخرش هست ها چون 0day هست
    کنایه استUndecided
    __________________________________________________________________________
    -- - RezaWorkShop.ir - blog.RezaOnline.net
    ۱۳۹۱ آذر ۵ ۱۲:۳۵ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : shgninc
    zoghal آفلاین
    صالح سوزنچی
    *****

    ارسال‌ها: 1,766
    تاریخ عضویت: ۱۳۸۷ دي ۲۵
    اعتبار: 23
    تشکرها : 1500
    ( 1729 تشکر در 992 ارسال )
    ارسال: #8
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    (۱۳۹۱ آذر ۵ ۱۲:۳۵ صبح)Reza نوشته شده توسط:  داش صالح اطلاع رسانی میکنی ممنون .
    اما اینی که میگی
    نقل قول: تحویل بگیرید. آخرش هست ها چون 0day هست
    کنایه استUndecided

    کنایه؟ به کی به چی. اگر یک باگ از ویندوز یا لینوکس بود باز می گفتید کنایه زدم.

    فکر میکنم این مشکل از برداشت شماها هست. به قول وحید:

    (۱۳۹۱ آذر ۴ ۰۸:۴۶ عصر)admin نوشته شده توسط:  اما اگر هم باگ واقعی بود دلیلی بر ضعف نیست. باگ امنیتی همیشه وجود داره.
    حالا نمی دونم کنایه رو واقعا چی می دونید و کدام قسمت از جمله من کنایه بوده و اصلا به چه کسی. خواهشا منصفانه به اینگونه مسائل بنگرید.
    ۱۳۹۱ آذر ۵ ۰۱:۴۸ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : Reza
    Reza آفلاین
    رضا شیخله
    *****

    ارسال‌ها: 3,024
    تاریخ عضویت: ۱۳۹۰ آبان ۱۶
    اعتبار: 133
    تشکرها : 2724
    ( 2715 تشکر در 1691 ارسال )
    ارسال: #9
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    نقل قول: کنایه؟ به کی به چی. اگر یک باگ از ویندوز یا لینوکس بود باز می گفتید کنایه زدم.
    منظور اینه عبارت "تحویل بگیرید" یک عبارت کنایی هست . Angel
    دیگه کاری ندارم
    __________________________________________________________________________
    -- - RezaWorkShop.ir - blog.RezaOnline.net
    ۱۳۹۱ آذر ۵ ۰۲:۴۴ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    faghani آفلاین
    عليرضا فغاني
    ****

    ارسال‌ها: 341
    تاریخ عضویت: ۱۳۸۸ مرداد ۲۲
    اعتبار: 4
    تشکرها : 255
    ( 85 تشکر در 61 ارسال )
    ارسال: #10
    RE: Yii Framework 1.1.8 Search SQL Injection Vulnerability
    من بطور کامل و 100% مسلط شدم به yii
    من کل هسته yii رو مطالعه کردم و خط به خطش رو حفظم....

    yii امکان نداره حتی 1 باگ امنیتی داشته باشه....

    این ضعفی که شما گزارش کردین واسه ی استفاده غلط و نادرست از امکانات yii هست که قطعا اگر از هر فریمورکی صحیح استفاده نشه ، سیستم به مشکل بر میخوره....
    ۱۳۹۱ آذر ۵ ۰۹:۳۰ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : zoghal
    « قدیمی تر | تازه‌ تر »

  • صفحه‌ها (5):
  • ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS