• Toplam: 0 Oy - Ortalama: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Mybb Açıkları Tam Liste




#1

MyBB Açıkları Tam Liste Halinde+Önlemleri-Ders:1

Evet arkadaşlar bu yazımda sizlerle şöyle biraz MyBB'nin ilk günlerinden yani eski sürümlerinde yaşanan ve var olan gerçek ıspatlanmış olan MyBB Açıklarından bahsetmek istiyorum..!

Öncelikle Kısa bir şekilde MyBB'de bulunan açıkların listesini belirtmekte fayda var.!

MyBB Açıkları Listesi :[/color]
  • MyBulletin Board`un 1.2.2 ve öncesi versiyonlarını etkileyen SQL Enjeksiyon açığı.!

    Elekt tarafından raporlanan açığa göre;

    Sistemin kod'lanması esnasında CLIENT-IP modülünde yapılan kod'lama hataları nedeniyle sistem üzerinden uzaktan SQL sorguları çalıştırılabilmekte ve kullanıcı bilgilerine erişilebilmektedir,diye MyBB tarihine geçmiş açıklardan birisidir.(1.2 versiyonlarında Doğrulanmıştır.)onay.png

  • Bazılarının uyduruk yazılarına göre ise MyBB forum sitelerinde upload açığı olduğunu yazan makaleler.(saçmalık diyorum) wink.gif

  • Başka bir saldırı şekline göre ise cookiler yani bu yöntemi kullanıp admin paneline sızma yöntemi.(1.2 versiyonlarında Doğrulanmıştır.)onay.png

  • inc/datahandlers/pm.php dosyasına gönderilen girişler SQL sorgularında kullanılmadan önce doğru olarak filtrelenmemesi açıkları.(1.2 versiyonlarında Doğrulanmıştır.)onay.png

  • uygulama herhangi bir onaylama kontrolü olmadan kullanıcıların HTTP istekleri ile bazı işlemler yapmalarına izin verebiliyor. Bu açık ile moderatörlerin kötü amaçlı bir siteyi ziyaret etmesini sağlayarak içerik silme gibi işlemler yapılabiliyor.(1.2 versiyonlarında Doğrulanmıştır.)onay.png

  • MyBBRFI/LFI Açıkları ve (Shell Saldırısı);

    Bidiginiz gibi bu saldırı yönteminin bulundu zamanda MyBB neredeyse çığır başlatıcaktı ki patlama yapmasına sebeb olan bu açık Shell Saldırısı olmuştur.

    kısaca etkili olduğu sürümler;

    MyBB 1.4.4 (Doğrulanmıştır.)onay.png
    MyBB 1.4.5 (Doğrulanmıştır.)onay.png
    MyBB 1.4.6 (Doğrulanmıştır.)onay.png
    MyBB 1.4.7 (Doğrulanmıştır.)onay.png

    Bundan sonra çıkan sürüm güncellemeleri yani ;
    MyBB 1.4.8
    MyBB 1.4.9 
    MyBB 1.4.10
    MyBB 1.4.11 (Ufak bir açık olup tehlikesiz atlatılmıştır..)
    MyBB 1.4.12
    MyBB 1.4.13 (Şu anki son Sürümümüz)
    Gibi Sürümler'de MyBB açıklarını tarihe gömerek bu saldırılara son vermiştir.exclamation.gif

    Hatırlarsanız ki MyBB kullanan arkadaşlarımız çok iyi bilirler bir ara destek sitelerinde sürekli sitem hack'lendi acil tardım gibi konular açarak çağrılarda bulunmuşlardı; işte perde arkasında kalan bu saldırının gerçek adı; (RFI/LFI Shell Saldırısı)'dır Diğer bi adını güvenlik için saklı tutuyorum.!

    Peki nedir bu (RFI/LFI Shell Saldırısı)? ;

    Hemen konuya dalıyorum MyBB'nin php kodlaması olduğunu hepimiz biliyoruz;işte bu kodlama esnasında değişken tanımlama olarak kullanılan kodlamalarda yanlışlıkla yapılan hatalardan kanaklanan açıktır.exclamation.gif

    Ciddi bir açık açıklaması örnekleri;
    Remote File İnclude: (RFI)

    Uzaktan dosya dahil etme anlamına gelen RFI da tanımlanmamış değişkenleri tanımlar ve açık varsa istenilen değere atanır... örnek kullanım yöntemi ise; shell(c99,r57 vs.vs.vs... ).exclamation.gif

    Local File İnclude (LFI)

    Yeral serverdan dosya dahil etme anlamına gelen bu açık RFI kadar etkili değildir. exclamation.gif

    Önemli Açıklama;
    VARIABLE : Değişken anlamına gelmektedir.Bizim açığımız da bu kodlamadan kaynaklanmaktadır.! Yani örneğin ; include ile bi dosya, sayfaya dahil edilirken komutun içinde değişkenler de bulunur (örnek bi değişken : $external).gibi Bu değişken aynı sayfada define edilmezse yani tanımlanmazsa burda açık var demektir ve saldırıla bilir...
Geldik İlk MyBB açıkları dersimizin sonuna arkadaşlar bu makalemde MyBB'de bulunan açıkları ilk günlerden itibaren aklımda kalanları paylaştım ;tabi bu demek değildir ki bu kadarmıydı yazıcakların hayır bu kadar değil daha önemlisi son günlerde yapmış olduğum araştımalarım ve denemelerim sonucunda ortaya çıkan extra bir saldırı yöntemi olan ref saldırısı çıkmış tabi bu saldırı yeni olan birşey değil MyBB aleminde 2008 yılarının ortalarında yaşanan saldırı yöntemi bunun için alınacak önlemleri resimli olarak anlattım siteyi takip edenler bilir, bilmiyenler varsa hemen alttaki link'ten konuya bakabilirler.

Ref saldırıları+Önlemleriinternal_link.png <-tılklayın.

Şimdi konumuza son vermeden her zaman olduğu gibi konu ile ilgili soru veya sorunlarınızı yine bu konu alttından sorabilirsiniz.. wink.gif
Sözler İncidir Bazen İncitir



Ara


Digg   Delicious   Reddit   Facebook   Twitter   StumbleUpon  

Anahtar Kelimeler

Mybb Açıkları Tam Liste ,Mybb Açıkları Tam Liste indir,Mybb Açıkları Tam Liste yükle,Mybb Açıkları Tam Liste download,Mybb Açıkları Tam Liste indirmek istiyorum,Mybb Açıkları Tam Liste yükle,Mybb Açıkları Tam Liste bedava, Mybb Açıkları Tam Liste İNDİR,Mybb Açıkları Tam Liste YÜKLE,free,yukle,İndir,download,inndir,Mybb Açıkları Tam Liste Dvdrip,Mybb Açıkları Tam Liste filmi indir, Wolfteam FRM Hack v3 - Tanıtım ve Kullanım, Wolfteam FRM Hack v3 - Tanıtım ve Kullanım, Wolfteam FRM Hack v3 - Tanıtım ve Kullanım, WolfteamFRMHackv3, WolfteamGoldHackv3, ColdHack G6, ColdHack G5, ColdHack G4, GoldHack, Wolfteam Real Envanter + İsim Değiştirme + Takla/2016/, Wlp Hack, ColdHack, FRM Hack, FRM Hack v3, FRM Hack v4, FRM Hack v5, FRM Hack v6, Gold Hack Free, FRM Hack FREE, FRM Hack Crack, FRM Hack v3 Crack, FRM Hack v3 free, full,indir,izle,tanıtım,kullanım,crack,hile,hack,thefrm,hileevreni,ripfrm,zulaplus,sorular,cevap,FRM Hack Satış,FRM Hack Satış, ByCondoR Hack, Aimbotsuz Envanter Hack 10.07.2016, Aimbotsuz Envanter Hack 15.07.2016, Aimbotsuz Envanter Hack 20.07.2016, AimsizEnvanter Hack, Evanter hack, Elvanter Hack, wolfteam nakit hilesi 2016, Elvater hack, Wolftem Hack, 01.01.2016 Güncel Hack Wolfteam, 01.01.2016 Hack Wolfteam, Real Envanter , Real Kick, 2016 Hack Wolfteam, Wolfteam HACK 2016, Wolfteam İZLEME 2016, Wolfteam NAME ESP 2016, Wolfteam Kutu açımı 2016, Wolfteam Coldhack 2016, wOLFTEAM BEDAVA COLDHACK 2016, WOLFTEAM ODADAN ATMA HACK 2016, WOLFTEAM KARAKTER HACK 2016, WOLFTEAM WLP 2016, WOLFTEAM HAZIR BOTU 2016, WOLFTEAM BLOODRAPPER 2016, WOLFTEAM BİAXE 2016, WOLFTEAM HAYKIRMA HACK, WOLFTEAM HİLE 2016, WOLFTEAM YAMADAN SONRA HACK 2016, WOLFTEAM YAMADAN SONRA GUNCEL HACK 2016, WOLFTEAM BEDAVA HACK 2016, WOLFTEAM BASE TARAMA 2016, Wolfteam headshot 2016, wolfteam alwaysheadshot hack 2016, wolfteam bug 2016, wolfteam hileli adam 2016, wolfteam hacks 2016, wolfteam 2016 bedava hile, Name Esp [Duvar Arkasından Rakiplerinizi Görürsünüz], No Recoil No Spread [Silahınız Sekmez Ve Mermi Değişmez], Early Respawn [Ölünce Anında Doğarsınız], Rapid Fire [Silah İle Tararsınız], Infinite Ammo [Sınırsız Mermi], No Fall Damage [Düşünce Can Gitmeme], Freeze Player God Mode [Adamları Baseye Sabitler Aşşa Düşerseniz Ölmezsiniz], Speed [Oyun Hızını 7X Çıkarır], Wolf Hold Wolf Abitly [Duvarda Tutunmaya Ve Kurt Koşuşudur], Slots 0 Sp [Tüm Slotlar 0 Sp Olur], WallShot [Duvardan Vurabilirsiniz], Respawn Where Died [Öldüğünüz Yerde Doğarsınız ], TeamKill [Takım Arkadaşlarınızı Öldürebilirsiniz], Aimbot Wolfkill [Base Tarayabilirsiniz, Ve Envanterde İşe Yaramaktadır], Return To Base [Base Dönebilirsiniz Baseye Atar Yeniden Silah Seçersiniz.], Envontry Hack[Seçtiğiniz Silahar Slotlara Eklenir], Anti AHH Pro [Yasaklı Eşya Engeller], Axis Hack [Duvarın İçine Girersiniz], No Clip [Sürekli Aşşa Düşersiniz], WOLFTEAM İLLEGAL HACK 2016, wolfteam ananı siktim cocuk :D 2016, wolfteam tuhg life 2016, wolfteam teamkiill hack 2016, wolfteam bahama 2016, wolfteam levatihan, wolfteam takla 2016, wolfteam ateş , wolfteam nakit hilesi, wolfteam jp hilesi, ByCondoR, RaveN, wolfteam ,kaçak nakit, Wolfteam Hacks, Wolf Hileleri, Wolf hacks, wolf hack d, wolf base tarama, wolfteam hacks, wolfteam gücne hack, wolfteam güncel hileler, wolfteam güncel hile, wolfteam hileler, wolfteam hileleri, wolfteam hacks lar, wt hacks, wt hile, wolfteam montage, wolfteam hacker, wolfteam base taraama, wolfteam pointer, wolfteam hile nasıl yapılır.!, ughf cracked, ughf hack, real ınventory, gerçek envanter, envantere gelen hack, real slot, gerçek slot, Real ınventory


Şu anda bu konuyu okuyanlar:
1 Ziyaretçi