Guestbook php success rates: Example: Deploying PHP Guestbook application with Redis

Сценарии гостевой книги PHP 1.5 — множественные уязвимости

 Заголовок:
======
Скрипты гостевой книги PHP v1.5 — множественные веб-уязвимости


Дата:
=====
2012-06-11


Использованная литература:
===========
http://www.vulnerability-lab.com/get_content.php?id=601


ВЛ-ИД:
=====
601


Общая система оценки уязвимостей:
=====================================
7,5


Введение:
==============
Скрипт гостевой книги PHP — это скрипт, который очень легко установить,
администрировать и использовать на своем веб-сайте.
Посетители вашего сайта могут оставлять комментарии и отзывы. Также вы можете
используйте его для отзывов.
Возможности PHP-скрипта гостевой книги:

    защищенная паролем страница администратора
    легко конвертируется на любой язык
    полный контроль над визуальным стилем
    простая установка в один шаг
    легко разместить на своей веб-странице - скопируйте и вставьте одну строку кода
    выберите только те поля, которые вы хотите отобразить в форме гостевой книги
    возможность установить обязательные (обязательные) поля в форме гостевой книги
    каждый комментатор сможет загрузить свою фотографию (значок/аватар)
    опция рейтинга звезд для обратной связи
    поддержка смайликов с возможностью показать/скрыть
    ограничить количество символов в области комментариев
    установить количество комментариев на странице
    отсортировать порядок записей
    создать список слов, которые будут запрещены в гостевой книге
    создать список IP-адресов, которым будет запрещено использовать
Гостевая книга
    предотвращение инъекций HTML и javascript
    выбор между двумя типами антиспам-кода капчи - простой и reCaptcha
    100% остановите спам с помощью изображения reCaptcha
    различные темы изображения капчи в соответствии с цветами вашего сайта
    возможность одобрять комментарии/отзывы до того, как они станут общедоступными
    изменить адрес электронной почты, на который будут отправляться все уведомления о новых записях
    возможность отправить благодарственное сообщение комментатору после публикации
    RSS-канал, подтвержденный W3C
    предоставляется полный исходный код

Требования: PHP 4.
   3 или выше и MySQL 3 или выше, работающие на вашем
веб сервер.
Текущая стабильная версия скрипта гостевой книги PHP — 1.5.

(Копия домашней страницы поставщика: http://www.guestbookscripts.com)


Абстрактный:
=========
Исследовательская группа Лаборатории уязвимостей обнаружила несколько различных
веб-уязвимости в скриптах гостевой книги PHP 1.5 CMS.



Отчет-Временная шкала:
================
11.06.2012: Публичное или непубличное раскрытие информации


Положение дел:
========
Опубликовано


Эксплуатация-Техника:
=======================
Удаленный


Строгость:
=========
Высокий


Подробности:
========
1.1
В гостевой книге обнаружены множественные уязвимости SQL Injection
Скрипты PHP 1.5 Система управления контентом.
Уязвимость позволяет злоумышленнику (удаленному) или локальному пользователю с низкими привилегиями
учетная запись пользователя для внедрения/выполнения собственного sql
команды в затронутых СУБД приложений без участия пользователя.
Успешная эксплуатация уязвимости
приводит к компрометации СУБД и приложений.    Уязвимости
находится в файлах guestbook.php или admin.php
и связанные параметры p, orderType и orderBy. SQL-инъекция
уязвимости могут быть использованы удаленными злоумышленниками без участия пользователя.
взаимодействие и без привилегированной учетной записи пользователя.

Уязвимые файлы:
            [+] гостевая книга.php
            [+] админ.php


Уязвимые параметры:
            [+] тип заказа
            [+] р
            [+] заказПо



1,2
Несколько непостоянных уязвимостей межсайтового скриптинга
обнаружен в системе управления контентом PHP 1.5 сценариев гостевой книги.
Уязвимость позволяет удаленным злоумышленникам захватить сайт клиента,
сеансы модератора или администратора с высоким уровнем взаимодействия с пользователем
или локальная учетная запись пользователя с низким уровнем привилегий. Уязвимости находятся в
файл admin.php с привязанным уязвимым поиском, p&
параметры типа заказа. Успешная эксплуатация может привести к учетной записи
кража, фишинг и манипулирование запросами контента на стороне клиента.  

Уязвимые файлы:
            [+] админ.php

Уязвимые параметры:
            [+] поиск
            [+] р
            [+] тип заказа


Доказательство концепции:
=================
1.1
Уязвимости SQL Injection могут быть использованы удаленными злоумышленниками
с привилегированной учетной записью пользователя и без нее.
Взаимодействие пользователя не требуется для эксплуатации. Для демонстрации или
воспроизвести ...

http://127.0.0.1:80/cms/guestbook.php?p=[SQL-INJECTION]
http://127.0.0.1:80/cms/guestbook/admin.php?act=comments&orderType=[ASC/DESC]&search=&orderBy=[SQL-INJECTION]
http://127.0.0.1:80/cms/guestbook/admin.php?act=comments&orderType=[SQL-INJECTION]

1,2
Постоянные уязвимости могут быть использованы удаленными злоумышленниками.
без привилегированной учетной записи пользователя и с низким
требуемое взаимодействие с пользователем. Для демонстрации или воспроизведения...

http://127.0.0.1:80/cms/guestbook/admin.php?act=comments&orderType=[ASC/DESC]&search=&orderBy=[CROSS
СЦЕНАРИЙ САЙТА]
http://127.
   0.0.1:80/cms/guestbook/admin.php?act=comments&orderType=[ASC/DESC]&search=[CROSS
СЦЕНАРИЙ САЙТА]
http://127.0.0.1:80/cms/guestbook/admin.php?act=comments&orderType=[ПЕРЕСЕЧНАЯ САЙТ
НАПИСАНИЕ]


Риск:
=====
1.1
Риск безопасности уязвимостей SQL-инъекций оценивается как
высокий.

1,2
Риск безопасности уязвимостей проверки ввода оценивается
как низкий(+)


Кредиты:
========
Лаборатория уязвимостей [Исследовательская группа] - snup
([email protected]) [http://snup1.blogspot.com]



Отказ от ответственности:
===========
Информация, представленная в этом бюллетене, предоставляется без
любая гарантия. Vulnerability-Lab отказывается от всех гарантий,
явные или подразумеваемые, включая гарантии товарного состояния
и возможности для конкретной цели. Уязвимость-
Лаборатория или ее поставщики не несут ответственности в случае любого ущерба, в том числе
прямая, косвенная, случайная, последующая потеря бизнеса
прибыль или особый ущерб, даже если Vulnerability-Lab или ее поставщики
были предупреждены о возможности такого ущерба.   Некоторый
Государства не допускают исключения или ограничения ответственности за
косвенные или случайные убытки, поэтому вышеуказанное ограничение
может не применяться.

Домены: www.vulnerability-lab.com - www.vuln-lab.com
Контакт: [email protected] -
[email protected] - [email protected]
Раздел: video.vulnerability-lab.com -
forum.vulnerability-lab.com - news.vulnerability-lab.com
Социальные сети: twitter.com/#!/vuln_lab -
facebook.com/VulnerabilityLab — youtube.com/user/vulnerability0lab

Любая измененная копия или воспроизведение, включая частичное использование, настоящего
файл требует авторизации от Лаборатории уязвимостей.
Разрешение на распространение этого предупреждения в электронной форме в неизмененном виде
форма предоставлена. Все остальные права, включая использование других
media, зарезервированы исследовательской группой Vulnerability-Lab или ее поставщиками.
Все изображения, тексты, рекомендации, исходный код, видео и
остальная информация на этом веб-сайте является торговой маркой группы уязвимых лабораторий.   
и конкретные авторы или менеджеры. Записывать, перечислять (подавать),
изменять, использовать или редактировать наш материальный контакт ([email protected] или
[email protected]), чтобы получить разрешение.

                            Copyright � 2012 Уязвимость-Лаборатория

--
КОМАНДА ЛАБОРАТОРИИ ИССЛЕДОВАНИЯ УЯЗВИМОСТЕЙ
Веб-сайт: www.vulnerability-lab.com
Почта: [email protected]
             

Размещенная гостевая книга | ЛУЧШИЙ хостинг гостевой книги 2022

Хостинг гостевой книги | ЛУЧШИЙ Хостинг Гостевых Книг 2022

Только 2,99 доллара США /мес *

Решения для хостинга гостевых книг на быстрых серверах.

Начать Сравнить планы

Лучшие и самые быстрые решения для вашей гостевой книги!

Рекомендуемое программное обеспечение для размещенных гостевых книг

Альтернативы и варианты дополнительного программного обеспечения для размещенной гостевой книги

Беллабук

BellaBook — это простое программное обеспечение гостевой книги на основе PHP. BellaBook использует «плоские файлы», а не сложные базы данных MySQL, чтобы предоставить множество функций в простом в использовании решении.

УЗНАТЬ БОЛЬШЕ

Расширенная гостевая книга

Расширенная гостевая книга — это приложение, в которое загружаются такие функции, как шаблоны, загрузка изображений и языковая поддержка. Этот сценарий на основе PHP упрощает управление, изменение, просмотр и удаление сообщений.

УЗНАТЬ БОЛЬШЕ

Адресная книга PHP

Адресная книга PHP — это программное обеспечение, основанное на PHP и MySQL. Это веб-решение упрощает управление вашим адресом и телефонной книгой.

УЗНАТЬ БОЛЬШЕ

Гостевая книга PHPKode

Гостевая книга phpKode — это мощное программное решение для гостевых книг на основе PHP, использующее Ajax. PHPKode предлагает защиту от спама, возможность блокировки IP-адресов и капчу для защиты вашего сайта.

УЗНАТЬ БОЛЬШЕ

phpBook

phpBook — это программа для гостевой книги с приятным интерфейсом и несколькими шаблонами языков и местоположений. phpBook основан на PHP/MySQL и работает на быстром и стабильном коде.

УЗНАТЬ БОЛЬШЕ

RicarGBкнига

RicarGBooK — это гостевая книга, написанная на PHP. RicarGBooK имеет удобную панель управления для мониторинга комментариев.

УЗНАТЬ БОЛЬШЕ

Гостевая книга VX

VX Guestbook — это бесплатное программное обеспечение, позволяющее легко добавить гостевую книгу на ваш веб-сайт. Гостевую книгу VX можно настроить с помощью редактируемых шаблонов.

УЗНАТЬ БОЛЬШЕ

Лазарь

Lazarus — это бесплатное приложение гостевой книги на основе PHP, основанное на скрипте расширенной гостевой книги. Lazarus имеет множество функций, включая защиту от спама.

УЗНАТЬ БОЛЬШЕ

Что говорят наши клиенты

Вот несколько примеров того, что клиенты A2 Hosting говорят о наших услугах.

«Услуга A2, безусловно, лучшая из всех хостинговых компаний».

Моник С. 28 марта 2022 г.

«Поддержка A2 всегда отвечала на мои запросы о помощи конкретными инструкциями или решениями, которые я не мог сделать самостоятельно. Наше решение перенести наш бизнес на хостинг As было лучшим решением, которое мы приняли».

Дорис В. 13 января 2022 г.

«a2Hosting — отличный хостинг. Одна и более функций Это именно то, что я хочу. Служба поддержки работает хорошо»

Джон Н. 13 января 2022 г.

Ваша гостевая книга Хостинг-провайдер

Хостинг гостевой книги — The A2 Way

Если вы когда-либо были на свадьбе, есть большая вероятность, что вы подписали гостевую книгу. Если вы хотите добавить аналогичные онлайн-функции на свой веб-сайт, вам может быть интересно добавить на свой веб-сайт программное решение для онлайн-гостевой книги. С большинством программных решений для гостевых книг ваши посетители могут публиковать свое имя, комментарий и свое местоположение на вашем веб-сайте. Хотя вы вряд ли захотите запускать только сайт гостевой книги, программное решение для гостевой книги может добавить приятный бесплатный элемент на ваш сайт. Многие решения для гостевых книг можно легко интегрировать в ваш сайт, независимо от того, используете ли вы CMS, решение для блога или витрину интернет-магазина.