| 15 grudnia 2009
Dzisiaj dzięki pracy jednej z forumowiczek forum.joomla.pl przedstawiam dodatek, dzięki któremu próba wyciągnięcia hasła administratora z CMS Joomla przy pomocy SQL Injection jest całkowicie bezskuteczna.Autorem dodatku jest "jolaass". Posłużę się tutaj cytatem opisującym plugin:
"Po zapoznaniu się z materiałem przygotowanym przez @trzepiza na temat możliwości "dobrania" się do hasła administratora Joomla, przygotowałam odpowiedź w postaci plugina.
Ciekawski przy próbie przeczytania hasła spotyka się z właściwą odpowiedzią naszego "złośliwego" dodatku np. :"Spadaj na drzewo".
Oczywiście jest to jedna z opcji. Można w konfiguracji wpisać fałszywe hasło, które zaszyfrowane metodą Joomla będzie udawało prawdziwe.
Do wyboru jest również czyje hasła mają być ukrywane przy takiej próbie ataku: Super Administratorów, Wszystkich mających dostęp do panelu admina albo Wszystkich użytkowników.
Przy dużej liczbie użytkowników, ukrywanie wszystkich haseł może być dużym obciążeniem dla szybkości działania witryny.
Plugin podobnie potraktuje każdy kod, który będzie próbował wyświetlać hasła z tabeli jos_users.
Plugin został przetestowany przez @trzepiza w "trudnych" warunkach i spisał się dobrze. Załączam paczkę instalacyjną. Po zainstalowaniu - skonfigurować i włączyć.
Testowanie może polegać na umieszczeniu w dowolnej części strony kodu, który będzie usiłował wyświetlać hasło.
Zapraszam do testowania."
plgSpadaj.zip
i oczywiście zrzut ekranu pokazujący, że SQL Injection nie działa .. !
Komentarze
Na marginesie: niezła robota :).
Pozdrawiam
Kanał RSS z komentarzami do tego postu.