« Нові уразливості в OpenX
Уразливість на webfile.ru »

Просунутий SQL Injection в Joomla

22:43 03.10.2009

Продовжуючи розпочату традицію, після попереднього відео про експлуатацію уразливостей в ПЗ, пропоную новий відео секюріті мануал. Цього разу відео про просунутий SQL Injection в Joomla. Рекомендую подивитися всім хто цікавиться цією темою.

Advanced Mysql Injection in Joomla

В даному відео ролику наочно демонструється проведення SQL Injection атаки на движок Joomla, зокрема для зчитування локальних файлів на сайті. Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою SQL ін’єкцій та небезпеки подібних уразливостей.


This entry was posted on 22:43 03.10.2009 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.

3 відповідей на “Просунутий SQL Injection в Joomla”

  1. Dimi4 каже:
    Понеділок, 23:25 05.10.2009

    Мда) Це секюріті блог чи жовта преса? Можливо варто вказати в заголовку що скуля не в джумлі, а в компоненті. тим більше відео абсолютно зайве. Перехекер вчить нас як юзати лоад_файл?

  2. MustLive каже:
    Субота, 21:59 17.10.2009

    Dimi4, спасибі за порівняння с жовтою пресою. Перед тим як вішати на мій сайт подібні ярлики, ти задай собі запитання, які сайти ти читаєш і з якими сайтами ти обмінуєшся лінками. Наприклад я не читаю жовту пресу і не обмінююся лінками з подібними сайтами ;-) .

    Стосовно назви, то я її зробив базуючись на оригінальній назві відео-ролика (я так завжди роблю). І те, що автор назвав це SQLi в Joomla, а насправді дірка лише в компоненті, то це питання до автора відео :-) . В даному випадку це не суть важливо, бо в цілому назва відповідає суті відео - на прикладі сайта на Джумлі демонструються різновиди SQLi атак.

    Перехекер вчить нас як юзати лоад_файл?

    Те що даний діяч місцями неточний (як з назвою відео, так і в деяких інших моментах) і що саме відео не є кращим прикладом відео-посібника, то на це я звернув увагу. Але в цілому його цілком достатньо для демонстрації використання LOAD_FILE. В тих відео-манулах про використання SQL Ін’єкцій, які я опублікував раніше на сайті, не було прикладів семе доступа до файлової системи. І коли я натрапив на дане відео, де було показане використання LOAD_FILE, я і опублікував його на сайті, щоб привернути увагу до цієї теми.

    Серед моїх читачів є багато адмінів сайтів й веб девелоперів, і чимало з них або мало обізнані, або зовсім не знають про подібні атаки. Ось на них і орієнтоване дане відео.

  3. Dimi4 каже:
    Субота, 22:27 17.10.2009

    Як раз важливо :) . Назва “Просунутий SQL Injection в Joomla” напевно у 90% викликає здивування. Відкриваючи лінк - розчарування . До чого тут які сайти я читаю? В основному це ачат, і що такого? А те що ти зробив назву базуючись на назві ролика тебе аж ніяк не виправдовує. Це виглядає як тупий копіпаст. Не рекомендую таке робити.

Leave a Reply

You must be logged in to post a comment.