elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Ingresar Registrarse
07 Octubre 2008, 08:38  



+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits (Moderadores: sirdarckcat, berz3k)
| | |-+  SMF 1.1.2 - Session fixation Issue		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Imprimir
Autor Tema: SMF 1.1.2 - Session fixation Issue  (Leído 796 veces)
jcroot

Desconectado Desconectado

Mensajes: 64


Ver Perfil
SMF 1.1.2 - Session fixation Issue
« en: 08 Junio 2007, 03:28 »
Hola Gente!

Navegando por la Internet me encontré con este "exploit" que no lo entiendo muy bien, la verdad es que ya me contacte con SMF acerca de este exploit pero hasta ahora no veo ningún update.


He aqui el exploit:
http://www.majorsecurity.de/index_2.php?major_rls=major_rls47

Alguien me podría decir por favor de que se trata y como solucionarlo temporalmente? ya que me han "hackeado" el foro SMF 1.1.2 mas de dos veces y creo que es por este exploit.

La verdad es que por ahi me dijeron que este exploit se puede llevar a cabo siempre y cuando la configuración de PHP en el servidor este errónea pero no estoy seguro de eso.
En línea
sirdarckcat
sdc
Moderador
*****
Desconectado Desconectado

Mensajes: 4.639


HAND


Ver Perfil WWW
Re: SMF 1.1.2 - Session fixation Issue
« Respuesta #1 en: 08 Junio 2007, 06:00 »
no te preocupes.. el "bug" (que nisiquiera es un bug), solo se puede explotar en casos muuuuy excepcionales.. primero la victima debe cerrar sesion, despues debe dar click en un link, y despues iniciar sesión otravez..

si quieres protegerte.. deberias hacer, en index.php, al principio de todo:

Código:
if(isset($_GET['PHPSESSID'])){@session_start();$_GET['PHPSESSID']=false;@session_destroy();}unset($_GET['PHPSESSID']);

pero te repito, no es necesario, es muy dificil realizar este ataque..

Saludos!!
« Última modificación: 08 Junio 2007, 06:01 por Sirdarckcat » En línea
Mis páginas web:
- mi web, my blog, my web
http://ejemplode.com/, http://sybsecurity.com/
cheatmaster

Desconectado Desconectado

Mensajes: 83


Ver Perfil
Re: SMF 1.1.2 - Session fixation Issue
« Respuesta #2 en: 08 Junio 2007, 17:42 »
Puedes poner su uso porfavor ?
En línea
Man-In-the-Middle
www.tunchemart.com --OjO-- Solo Quejas!!
Colaborador

Desconectado Desconectado

Mensajes: 3.322



Ver Perfil WWW
Re: SMF 1.1.2 - Session fixation Issue
« Respuesta #3 en: 08 Junio 2007, 19:06 »
Que filipo XD!!
En línea
sirdarckcat
sdc
Moderador
*****
Desconectado Desconectado

Mensajes: 4.639


HAND


Ver Perfil WWW
Re: SMF 1.1.2 - Session fixation Issue
« Respuesta #4 en: 09 Junio 2007, 01:00 »
Su uso:
Esperas a que alguien sin sesion en el foro entre a tu web..

Le dices que entre a:
http://foro.elhacker.net/index.php/action=login&PHPSESSID=abcdefabcdefabcdefabcdef12345678

Esperas a que alguien de click ahí, e inicie sesión

Tu entras con ese sessid en la cookie.

¬¬ aun asi, hay que ser muy tonto, para caer en eso xD

Saludos!!
En línea
Mis páginas web:
- mi web, my blog, my web
http://ejemplode.com/, http://sybsecurity.com/
Páginas: [1] Ir Arriba Imprimir 
Ir a:  







Consolas     La Web de Goku     MilW0rm     MundoDivx

Hispabyte     Truzone     TodoReviews     ZonaPhotoshop

hard-h2o modding    Foros de ayuda    Yashira.org    Videojuegos    indetectables.net   

Noticias Informatica    Seguridad Informática    ADSL    Foros en español    eNYe Sec

Todas las webs afiliadas están libres de publicidad engañosa.

Powered by SMF 1.1.6 | SMF © 2006-2008, Simple Machines LLC
Free counter and web stats