Fix hack sql inject ở 1 ố web thông dụng hiện nay
Follow us on
Follow us on Facebook Follow us on Twitter Linked In Flickr Watch us on YouTube My Space Blogger
 
Kết quả 1 đến 7 của 7
  1. #1
    Thành Viên
    Ngày tham gia
    Apr 2007
    Bài viết
    869
    Thanks
    3
    Thanked 59 Times in 19 Posts

    Fix hack sql inject ở 1 ố web thông dụng hiện nay

    Hôm nay tôi đã hỏi qua người đã phát hiện ra lỗi của sql inject và đã fix cái này ,nay tôi share code này cho anh em nào đang dùng web mà bị hạck pass acc thì dùng code này để fix lại .

    Vào thư mục includes tìm file web_modules.php open nó ra và tìm đoạn code

    Code:
    function modules()
    xóa hết code function này đi và thay vào đoạn code dưới để fix ,đảm bảo 100% chống dc lỗi .
    Code:
    function modules(){
          if(isset($_GET['op'])){
            $op = $_GET['op'];
    		$bachcotsau = chr(92);
            $op = str_replace($bachcotsau , "", $_GET['op']);
            $op = str_replace("/" , "", $op);
            $op = str_replace("%00" , "\0", $op);
            $op = str_replace("?" , "", $op);
            $op = htmlspecialchars($op);
          if (is_file("modules/".$op.".php")) {
          	    include("modules/".$op.".php");
    	
          } else {	
    		require("config.php");
    		Echo ("<br>$warning_start Bạn hãy xem lại đường link! $warning_end<br>");
          }
       }
    }
    Thank to NyLan, người phát hiện lỗi .
    Xin vui lòng gõ tiếng Việt có dấu - Cảm ơn

  2. Các thành viên gởi lời cảm ơn đến bachcotsau vì bài viết này !

    Van_Bom (14-02-11)

  3. #2
    Thành Viên
    Ngày tham gia
    May 2008
    Bài viết
    291
    Thanks
    14
    Thanked 54 Times in 19 Posts

    Ðề: Fix hack sql inject ở 1 ố web thông dụng hiện nay

    Hi...ngoài Bug này ra..còn khá nhiều Bug...nếu tìm ra được và khắc phục được em sẽ share lên cho mọi người.Thank to bachcotsau.
    Khách viếng thăm hãy cùng Nylan xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  4. #3
    Thành Viên
    Ngày tham gia
    Apr 2007
    Bài viết
    116
    Thanks
    0
    Thanked 0 Times in 0 Posts

    Ðề: Fix hack sql inject ở 1 ố web thông dụng hiện nay

    ủa chổ này là gì vậy bạn , có ý nghĩa gì ko ?
    $bachcotsau = chr(92);
    $op = str_replace($bachcotsau , "", $_GET['op']);
    Khách viếng thăm hãy cùng Bose Online xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  5. #4
    Thành Viên
    Ngày tham gia
    May 2008
    Bài viết
    291
    Thanks
    14
    Thanked 54 Times in 19 Posts

    Ðề: Fix hack sql inject ở 1 ố web thông dụng hiện nay

    Không có sao đâu bạn..nó chỉ là 1 hàm gọi nhanh chr(92) .."bachcotsau" chỉ đổi tên lại thôi mà...(không bik có phải hem >_^)
    Khách viếng thăm hãy cùng Nylan xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  6. #5
    Thành Viên
    Ngày tham gia
    Apr 2007
    Bài viết
    869
    Thanks
    3
    Thanked 59 Times in 19 Posts

    Ðề: Fix hack sql inject ở 1 ố web thông dụng hiện nay

    Nói chung cái code trên chỉ chống dc lỗi của tất cả các file có trong thư mục includes .Còn các file trong thư mục admin chưa được chống ở các bản thông thường hiện nay :0 . Vì thế nếu bạn muốn đảm bảo và thủ công thì đổi tên thư mục quản lý admin đi khi nào muốn dùng thì đổi tên lại .
    Xin vui lòng gõ tiếng Việt có dấu - Cảm ơn

  7. #6
    Thành Viên
    Ngày tham gia
    Jul 2008
    Bài viết
    177
    Thanks
    8
    Thanked 19 Times in 8 Posts

    Ðề: Fix hack sql inject ở 1 ố web thông dụng hiện nay

    Khuyên các bạn chèm thêm câu :

    $op = str_replace(".." , "", $op);
    Bị 1 lần chừa rồi......................
    Khách viếng thăm hãy cùng LoveBol xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  8. #7
    Thành Viên
    Ngày tham gia
    Jul 2008
    Bài viết
    177
    Thanks
    8
    Thanked 19 Times in 8 Posts

    Ðề: Fix hack sql inject ở 1 ố web thông dụng hiện nay

    Bài của bachcotsau còn thiếu

    Tớ xin bổ xung:

    ở file : \includes\web_modules.php

    Tìm các function modules() function user_modules() và function bank_modules()

    Sau đó sửa thành như sau :



    function modules(){
    if(isset($_GET['op'])){
    $op = $_GET['op'];
    $g = chr(92);
    $op = str_replace($g , "", $_GET['op']);
    $op = str_replace("/" , "", $op);
    $op = str_replace("%00" , "\0", $op);
    $op = str_replace("?" , "", $op);
    $op = str_replace(".." , "", $op);
    $op = htmlspecialchars($op);
    if (is_file("modules/".$op.".php")) {
    include("modules/".$op.".php");

    } else {
    require("config.php");
    Echo ("<br>$warning_start Module $op Could Not Be Found By MuWeb! $warning_end<br>");
    }
    }
    }
    function user_modules(){
    if($_GET['option']) {
    $op=$_GET['option'] ;
    $g = chr(92);
    $op = str_replace($g , "", $_GET['option']);
    $op = str_replace("/" , "", $op);
    $op = str_replace("%00" , "\0", $op);
    $op = str_replace("?" , "", $op);
    $op = str_replace(".." , "", $op);
    $op = htmlspecialchars($op);
    $adr='./modules/user/'.$op.'.php' ;
    include($adr);
    }
    }
    function bank_modules(){
    if($_GET['option']) {
    $op=$_GET['option'] ;
    $g = chr(92);
    $op = str_replace($g , "", $_GET['option']);
    $op = str_replace("/" , "", $op);
    $op = str_replace("%00" , "\0", $op);
    $op = str_replace(".." , "", $op);
    $op = str_replace("?" , "", $op);
    $op = htmlspecialchars($op);

    $adr='./modules/bank/'.$op.'.php' ;
    include($adr);
    }
    }
    Khách viếng thăm hãy cùng LoveBol xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!

  9. Các thành viên gởi lời cảm ơn đến LoveBol vì bài viết này !

    Van_Bom (14-02-11)

 

 

Các Chủ đề tương tự

  1. Hạn chế hack đổi tên
    Bởi huuduyen_05 trong diễn đàn Hỏi Đáp/ Yêu Cầu
    Trả lời: 25
    Bài viết cuối: 01-04-15, 11:06 PM
  2. Cách hack Speed với các MU đã chống hack!!!
    Bởi vietmagic trong diễn đàn Releases
    Trả lời: 7
    Bài viết cuối: 11-04-08, 10:37 PM

Quyền viết bài

  • Bạn Không thể gửi Chủ đề mới
  • Bạn Không thể Gửi trả lời
  • Bạn Không thể Gửi file đính kèm
  • Bạn Không thể Sửa bài viết của mình
  •  
Múi giờ GMT +7. Bây giờ là 09:49 AM.
vBulletin®, Copyright ©2000-2011, Jelsoft Enterprises Ltd.
CLBGamesVN không chịu trách nhiệm về Luật Bản Quyền của các tài liệu, bài viết v.v...được đăng tải trên diễn đàn này.
Diễn đàn phát triển dưới sự đóng góp của tất cả thành viên. BQT chỉ là những người thành lập ra sân chơi, quản lý và duy trì về mặt kỹ thuật, nội dung khi hợp lệ.