Back to top

rss feed

Visualizza post

Questa sezione ti permette di visualizzare tutti i post inviati da questo utente. N.B: puoi vedere solo i post relativi alle aree dove hai l'accesso.


Post - stekko992

Pagine: [1]
1
Sicurezza / Re:Permessi 644 ai file
« il: 17 Dic 2012, 17:05:22 »
Grazie Giovi, si in effetti ho letto qualcosina anche io al riguardo, anche se da quanto ho capito, mettendo i permessi a 444 al configuration.php sarei costretto a settarli a 644 per qualunque modifica e poi risettarlo a 444, anche se per esempio voglio mettere il sito offline per un qualunque motivo. In sostanza a questo punto, dato che il sito si, lo gestisco io, ma in realtà è il sito della scuola presso la quale mi sono diplomato (http://www.itismajoranasommaves.gov.it) e ci lavorano i professori (vabbè mi chiamano e gli dico come fare) eviterei di renderlo ancora meno intuitivo nell'utilizzo quotidiano. Grazie per la risposta. Se ti va puoi darci un'occhiata così magari mi puoi dare qualche dritta non so :) .

2
Sicurezza / Re:Permessi 644 ai file
« il: 17 Dic 2012, 16:52:31 »
No allora mi rispondo da solo, almeno per adesso ho aggiornato un'estensione ed è andato tutto liscio, quindi credo che non dovrbbero esserci problemi. Lascio il topic aperto in attesa di una risposta da parte di qualcuno che magari ne sa un pò più di me. Grazie

3
Sicurezza / Re:Permessi 644 ai file
« il: 17 Dic 2012, 16:19:57 »
Aggiungo qualche informazione che può essere utile magari.
La versione di Joomla è 2.5.8, e la versione del server Apache è 2.4.3

4
Sicurezza / Permessi 644 ai file
« il: 17 Dic 2012, 15:54:14 »
Salve a tutto, scrivo di nuovo qui sul forum per farvi una domanda e spero che la sezione sia giusta.
Ho letto in più di un topic che i permessi delle cartelle vanno a 755 e i file a 644. Ora ho provato a impostarli così, però il server mi restituisce errore. Ho notato anche che se però imposto le pagine index.php nella root del sito e in administrator  a 755 il problema non sussiste. Mi chiedevo ma in questo modo quindi lasciando i file a 644 e le cartelle a 755 tranne che per i suddetti file, vado incontro a problemi del tipo durante l'installazione di un estensione o magari la creazione di un articolo ecc. o no?
Vorrei avere un pò di chiarezza in più riguardo appunto questi benedetti permessi. Grazie mille a tutti.

5
Sicurezza / Re:Scansione del sito
« il: 15 Dic 2012, 19:37:28 »
Certo grazie ilvanni purtroppo lo sto imparando a mie spese e credo che da oggi farò un backup quotidiano praticamente. Per l'aggiornamento invece mi ha fregato il fatto di fidarmi del messaggio Joomla è aggiornato ma farò bene a non guardarlo più di tanto. Grazie a tutti per le risposte, fa piacere sentire qualcuno che da un consiglio :D

6
Sicurezza / Re:Scansione del sito
« il: 15 Dic 2012, 19:30:36 »
Suppongo di si dato che due secondi prima andava bene e soprattutto aldilà dell'installazione non ho modificato nulla. Installo il componente, clicco su non mi ricordo configura o altro e mi da errore 500 nel box diciamo così, aggiorno la pagina e mi da errore 500. Mah!

7
Sicurezza / Re:Scansione del sito
« il: 15 Dic 2012, 19:21:29 »
Quando proprio le cose non devono andare...Ho aggiornato senza problemi, scarico akeeba admin tool per vedere se magari mi poteva essere utile alla difesa del sito e appena aggiorno, errore 500...niente da fare tutto è inutile e allora procediamo di nuovo al ripristino da backup. Vabbè passerò un'altra mezza giornata a caricare file con filezilla. Comunque Grazie eh!

8
Sicurezza / Re:Scansione del sito
« il: 15 Dic 2012, 15:54:40 »
Il discorso è che non mi riporta alcun aggiornamento da fare joomla perciò non ho provveduto. In ogni caso farò un aggiornamento sperando che la situazione migliori. Grazie

9
Sicurezza / Re:Scansione del sito
« il: 15 Dic 2012, 15:16:10 »
Ciao, sto utilizzando la 2.5.0
Ho notato che JoomScan non è riuscito a risalire alla versione, strano

10
Sicurezza / Re:Scansione del sito
« il: 15 Dic 2012, 13:10:42 »
Rettifica: Ho risolto il problema del file htacces che adesso è stato appunto rinominato in .htacess
resta ancora il problema segnalato da JoomScan che mi dice che il componente com_banners è vulnerabile.
Come mi comporto? e soprattutto, avendo eliminato l'utente super user di default con id 42 e rinominato le tabelle, posso stare un pò più tranquillo? Il sito viene messo giù sempre più spesso ultimamente!

11
Sicurezza / Scansione del sito
« il: 15 Dic 2012, 11:37:14 »
Ciao a tutti, dopo l'ennesimo attacco al sito web, che per fortuna ho ripristinato abbastanza velocemente con un backup precedente di  [non so se si può dire] Akeeba, che tra l'altro ne ha creato uno proprio dopo l'attacco, da solo... Vabbè comunque dicevo dopo l'attacco e il conseguente ripristino ho scansionato il sito con JoomScan ed ho ottenuto questo risultato:

Codice: [Seleziona]
Server: Apache/2.4.3 (Unix) mod_fcgid/2.3.7
X-Powered-By: PHP/5.3.19




## Checking if the target has deployed an Anti-Scanner measure


[!] Scanning Passed ..... OK




## Detecting Joomla! based Firewall ...


[!] No known firewall detected!




## Fingerprinting in progress ...


Use of uninitialized value in pattern match (m//) at ./joomscan.pl line 1009.
~Unable to detect the version. Is it sure a Joomla?


## Fingerprinting done.




## 4 Components Found in front page  ##


 com_search    com_content   
 com_phocadownload    com_users   








Vulnerabilities Discovered
==========================


# 1
Info -> Generic: htaccess.txt has not been renamed.
Versions Affected: Any
Check: /htaccess.txt
Exploit: Generic defenses implemented in .htaccess are not available, so exploiting is more likely to succeed.
Vulnerable? Yes


# 2
Info -> Generic: Unprotected Administrator directory
Versions Affected: Any
Check: /administrator/
Exploit: The default /administrator directory is detected. Attackers can bruteforce administrator accounts. Read: http://yehg.net/lab/pr0js/view.php/MULTIPLE%20TRICKY%20WAYS%20TO%20PROTECT.pdf
Vulnerable? N/A


# 3
Info -> Core: Multiple XSS/CSRF Vulnerability
Versions Affected: 1.5.9 <=
Check: /?1.5.9-x
Exploit: A series of XSS and CSRF faults exist in the administrator application.  Affected administrator components include com_admin, com_media, com_search.  Both com_admin and com_search contain XSS vulnerabilities, and com_media contains 2 CSRF vulnerabilities. 
Vulnerable? N/A


# 4
Info -> Core: JSession SSL Session Disclosure Vulnerability
Versions effected: Joomla! 1.5.8 <=
Check: /?1.5.8-x
Exploit: When running a site under SSL (the entire site is forced to be under ssl), Joomla! does not set the SSL flag on the cookie.  This can allow someone monitoring the network to find the cookie related to the session.
Vulnerable? N/A


# 5
Info -> Core: Frontend XSS Vulnerability
Versions effected: 1.5.10 <=
Check: /?1.5.10-x
Exploit: Some values were output from the database without being properly escaped.  Most strings in question were sourced from the administrator panel. Malicious normal admin can leverage it to gain access to super admin.
Vulnerable? N/A


# 6
Info -> Core: Frontend XSS - HTTP_REFERER not properly filtered Vulnerability
Versions effected: 1.5.11 <=
Check: /?1.5.11-x-http_ref
Exploit: An attacker can inject JavaScript or DHTML code that will be executed in the context of targeted user browser, allowing the attacker to steal cookies. HTTP_REFERER variable is not properly parsed.
Vulnerable? N/A


# 7
Info -> Core: Frontend XSS - PHP_SELF not properly filtered Vulnerability
Versions effected: 1.5.11 <=
Check: /?1.5.11-x-php-s3lf
Exploit: An attacker can inject JavaScript code in a URL that will be executed in the context of targeted user browser.
Vulnerable? N/A


# 8
Info -> Core: Authentication Bypass Vulnerability
Versions effected: Joomla! 1.5.3 <=
Check: /administrator/
Exploit: Backend accepts any password for custom Super Administrator when LDAP enabled
Vulnerable? N/A


# 9
Info -> Core: Path Disclosure Vulnerability
Versions effected: Joomla! 1.5.3 <=
Check: /?1.5.3-path-disclose
Exploit: Crafted URL can disclose absolute path
Vulnerable? N/A


# 10
Info -> Core: User redirected Spamming Vulnerability
Versions effected: Joomla! 1.5.3 <=
Check: /?1.5.3-spam
Exploit: User redirect spam
Vulnerable? N/A


# 11
Info -> Core: Admin Backend Cross Site Request Forgery Vulnerability
Versions effected: 1.0.13 <=
Check: /administrator/
Exploit: It requires an administrator to be logged in and to be tricked into a specially crafted webpage.
Vulnerable? N/A


# 12
Info -> CoreLibrary: phpmailer Remote Code Execution Vulnerability
Versions effected: Joomla! 1.5.0 Beta/Stable
Check: /libraries/phpmailer/phpmailer.php
Exploit: N/A
Vulnerable? N/A


# 13
Info -> CoreComponent: com_content SQL Injection Vulnerability
Version Affected: Joomla! 1.0.0 <=
Check: /components/com_content/
Exploit: /index.php?option=com_content&task=blogcategory&id=60&Itemid=99999+UNION+SELECT+1,concat(0x1e,username,0x3a,password,0x1e,0x3a,usertype,0x1e),3,4,5+FROM+jos_users+where+usertype=0x53757065722041646d696e6973747261746f72--
Vulnerable? No


# 14
Info -> CoreComponent: com_search Remote Code Execution Vulnerability
Version Affected: Joomla! 1.5.0 beta 2 <=
Check: /components/com_search/
Exploit: /index.php?option=com_search&Itemid=1&searchword=%22%3Becho%20md5(911)%3B
Vulnerable? No


# 15
Info -> CoreComponent: MailTo SQL Injection Vulnerability
Versions effected: N/A
Check: /components/com_mailto/
Exploit: /index.php?option=com_mailto&tmpl=mailto&article=550513+and+1=2+union+select+concat(username,char(58),password)+from+jos_users+where+usertype=0x53757065722041646d696e6973747261746f72--&Itemid=1
Vulnerable? No


# 16
Info -> CoreComponent: com_content Blind SQL Injection Vulnerability
Versions effected: Joomla! 1.5.0 RC3
Check: /components/com_content/
Exploit: /index.php?option=com_content&view=%' +'a'='a&id=25&Itemid=28
Vulnerable? No


# 17
Info -> CoreComponent: com_content XSS Vulnerability
Version Affected: Joomla! 1.5.7 <=
Check: /components/com_content/
Exploit: The defaults on com_content article submission allow entry of dangerous HTML tags (script, etc).  This only affects users with access level Author or higher, and only if you have not set filtering options in com_content configuration.
Vulnerable? N/A


# 18
Info -> CoreComponent: com_weblinks XSS Vulnerability
Version Affected: Joomla! 1.5.7 <=
Check: /components/com_weblinks/
Exploit: [Requires valid user account] com_weblinks allows raw HTML into the title and description tags for weblink submissions (from both the administrator and site submission forms).
Vulnerable? N/A


# 19
Info -> CoreComponent: com_mailto Email Spam Vulnerability
Version Affected: Joomla! 1.5.6 <=
Check: /components/com_mailto/
Exploit: The mailto component does not verify validity of the URL prior to sending.
Vulnerable? N/A


# 20
Info -> CoreComponent: com_content view=archive SQL Injection Vulnerability
Versions effected: Joomla! 1.5.0 Beta1/Beta2/RC1
Check: /components/com_content/
Exploit: Unfiltered POST vars - filter, month, year  to /index.php?option=com_content&view=archive
Vulnerable? No


# 21
Info -> CoreComponent: com_content XSS Vulnerability
Version Affected: Joomla! 1.5.9 <=
Check: /components/com_content/
Exploit: A XSS vulnerability exists in the category view of com_content.
Vulnerable? N/A


# 22
Info -> CoreComponent: com_users XSS Vulnerability
Version Affected: Joomla! 1.5.10 <=
Check: /components/com_users/
Exploit: A XSS vulnerability exists in the user view of com_users in the administrator panel.
Vulnerable? N/A


# 23
Info -> CoreComponent: com_installer CSRF Vulnerability
Versions effected: Joomla! 1.5.0 Beta
Check: /administrator/components/com_installer/
Exploit: N/A
Vulnerable? N/A


# 24
Info -> CoreComponent: com_search Memory Comsumption DoS Vulnerability
Versions effected: Joomla! 1.5.0 Beta
Check: /components/com_search/
Exploit: N/A
Vulnerable? No


# 25
Info -> CoreComponent: com_banners Blind SQL Injection Vulnerability
Versions effected: N/A
Check: /components/com_banners/
Exploit: /index.php?option=com_banners&task=archivesection&id=0'+and+'1'='1::/index.php?option=com_banners&task=archivesection&id=0'+and+'1'='2
Vulnerable? Yes


# 26
Info -> CoreComponent: com_mailto timeout Vulnerability
Versions effected: 1.5.13 <=
Check: /components/com_mailto/
Exploit: [Requires a valid user account] In com_mailto, it was possible to bypass timeout protection against sending automated emails.
Vulnerable? N/A


# 27
Info -> Component: Dada Mail Manager Component Remote File Inclusion Vulnerability
Version Affected: 2.6 <=
Check: /administrator/components/
Exploit: /administrator/components/com_dadamail/config.dadamail.php?GLOBALS[mosConfig_absolute_path]=
Vulnerable? No


# 28
Info -> Component: Component com_newsfeeds SQL injection
Versions Affected: Any <=
Check: /index.php?option=com_newsfeeds&view=categories&feedid=-1%20union%20select%201,concat%28username,char%2858%29,password%29,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30%20from%20jos_users--
Exploit: /index.php?option=com_newsfeeds&view=categories&feedid=-1%20union%20select%201,concat%28username,char%2858%29,password%29,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30%20from%20jos_users--
Vulnerable? No


# 29
Info -> Component: Joomla Component com_searchlog SQL Injection
Versions Affected: 3.1.0 <=
Check: /administrator/index.php?option=com_searchlog&act=log
Exploit: /administrator/index.php?option=com_searchlog&act=log
Vulnerable? No


# 30
Info -> Component: Joomla Component com_djartgallery Multiple Vulnerabilities
Versions Affected: 0.9.1 <=
Check: /administrator/index.php?option=com_djartgallery&task=editItem&cid[]=1'+and+1=1+--+
Exploit: /administrator/index.php?option=com_djartgallery&task=editItem&cid[]=1'+and+1=1+--+
Vulnerable? N/A


# 31
Info -> Component: JA T3-Framework Directory Traversal Vulnerability
Versions Affected: any
Check: /index.php?file=..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd&jat3action=gzip&amp;type=css&v=1
Exploit: /index.php?file=..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd&jat3action=gzip&amp;type=css&v=1
Vulnerable? No


# 32
Info -> Component: Joomgalaxy Remote File Upload
Versions Affected: 1.2.0.5
Check: /index.php?option=com_users&view=registration
Exploit: /index.php?option=com_users&view=registration
Vulnerable? N/A


There are 2 vulnerable points in 32 found entries!


~[*] Time Taken: 9 min and 38 sec
~[*] Send bugs, suggestions, contributions to joomscan@yehg.net



Come devo comportarmi? che devo fare? Premesso che se rinomino il file htacces mi si impalla tutto...Chiedo aiuto a voi perchè non so proprio come fare. Grazie Mille.

12
I Template di Joomla 1.6/1.7/2.5 / Re:Transition CSS sul menu
« il: 25 Set 2012, 13:27:45 »
Per fortuna ho risolto, grazie lo stesso.

13
I Template di Joomla 1.6/1.7/2.5 / [RISOLTO] Transition CSS sul menu
« il: 24 Set 2012, 13:58:54 »
Salve a tutti, chiedo consiglio a voi per risolvere questo piccolo quesito. Sto lavorando sul template JSN_PIXEL free ed in particolare sul menu in alto. Quello che non riesco a fare e assegnare alle varie voci di menu la propretà tranisition css. In realtà per le sottovoci di menu è stato abbastanza facile e in due secondi ho risolto, ma per le altre non riesco a capire dove inglobare tale proprietà in quanto lo sfondo delle voci sembra gestito diversamente dalle sottovoci e non riesco a capire come. Se qualcuno ci capisce qualcosa mi può indirizzare magari. Il sito è qui:  http://www.damianoturismo.altervista.org/damiano/

Grazie a tutti! :D

14
Sviluppo / Re:Aiuto realizzazione slideshow
« il: 13 Set 2012, 18:15:20 »
Grazie mau_develop della celere risposta e soprattutto della pazienza.
Ho spulciato un pò di post (tutti quelli che mi sono usciti usando la ricerca e la parola jquery) e sono giunto a questa conclusione:

getLayoutPath ce lo piazzo alla fine...

questa parte qua va fatta così



Codice: [Seleziona]

$doc =& JFactory::getDocument();
$doc->addScript( "http://www.example.com/modules/MIO_MODULO/css/stile.css","text/css" );
$doc->addScript("http://www.example.com/modules/MIO_MODULO/js/jquery.js");
$doc->addScript("http://www.example.com/modules/MIO_MODULO/js/jquery_cycle.js");


utilizzando la variabile JPATH_SITE anzichè inserirlo manualmente


e poi la funzione va lasciata in default.php (è la stessa del file originale)

e almeno con questo credo non dovrebbero esserci più problemi con l'entry point

Se ho sbagliato ancora, allora mi prendo a schiaffi e mollo tutto.  :-[


15
Sviluppo / Re:Aiuto realizzazione slideshow
« il: 13 Set 2012, 15:07:23 »
Ok allora procediamo per gradi, una pagina per volta.

Quando dici che nell'entry point ci vanno tutti i js addScript ecc, io ho tradotto così:

Codice: [Seleziona]
<?php
defined('_JEXEC') or die; // no direct access allowed


require_once dirname(__FILE__).DS.'helper.php'// get helper files


$effetto modslideshow::getEffect($params);
require JModuleHelper::getLayoutPath('mod_slideshow');


$doc =& JFactory::getDocument();
$doc->addScript"http://www.example.com/modules/MIO_MODULO/css/stile.css","text/css" );


$doc =& JFactory::getDocument();
$doc->addScript("http://www.example.com/modules/MIO_MODULO/js/jquery.js");


$doc =& JFactory::getDocument();
$doc->addScript("http://www.example.com/modules/MIO_MODULO/js//jquery_cycle.js");


function getJavaScript() {
    $javascript .= '$(document).ready(function() {';
    $javascript .= '    var eff="<?php echo($effetto);?>"';
    $javascript .= '$("#slideshow").cycle({';
    $javascript .= '    fx:eff,
speed:  2000,
timeout: 2500,
prev:   "#prima",
next:   "#dopo",
                       
})';
    $javascript .= '});';
    return $javascript;
}
 
$doc =& JFactory::getDocument();
$doc->addScriptDeclaration( getJavaScript(  ));

?>

(Che poi di sicuro tra apici e doppi apici ci sarà l'errore nella funzione getJavaScript())


Ma almeno l'idea alla base c'è, giusto? Sbagliato? Di conseguenza sia lo script che le chiamate ai file vanno tolte dal file default.php che rimarrebbe composto soltanto dai tag <div> relativi alla slide e alle frecce, e le poche righe di php per caricare le immagini.
Sto leggendo qualche esempio e qualche guida ma ne ho trovate tutte del tipo "facciamo il modulo hello world" dal quale non riesco a capire come comportarmi con queste quattro righe di jquery.

Comunque grazie per l'aiuto.

16
Sviluppo / Re:Aiuto realizzazione slideshow
« il: 13 Set 2012, 12:36:55 »
Grazie mau_develop, leggerò qualche altra guida e qualche esempio sperando di rispondere a qualche dubbio che ho ancora. Grazie per averci dato uno sguardo, non è affatto un granchè ma per me comporterebbe una bella soddisfazione. Apporterò le modifiche e vedremo come va.

17
Sviluppo / Re:Aiuto realizzazione slideshow
« il: 12 Set 2012, 15:05:17 »
Allora, cercando e ricercando ho trovato una guida per realizzare moduli per joomla. Adesso il modulo si installa ma ho ancora dei problemi di visualizzazione, molto probabilmente gli errori sono nella pagina default.php nella cartella tmpl. Se qualcuno magari ci vuole dare un'occhiata...

http://www.vincenzoabete.altervista.org/pacchetto.html

18
Sviluppo / Re:Aiuto realizzazione slideshow
« il: 12 Set 2012, 01:35:41 »
Grazie giusebos della risposta. Sono sicuro che non è un problema di permessi o di percorsi assoluti perchè non ho problemi ad installare altri moduli e perchè, prima che modificassi il file xml per l'installazione, il modulo si installava anche se non si visualizzava. Credo che il problema sia proprio nel file xml che ho scritto prendendo spunto da quelli di altri moduli per la versione 2.5. Evidentemente ho sbagliato qualcosa ma non capisco cosa. Non credo sia un problema relativo alla pagina della slide perchè è davvero semplice, poche righe di jquery e pochissime di php per ottenere il valore del field param per cambiare effetto. Spero che qualcuno trovi il problema. Grazie.

19
Sviluppo / Aiuto realizzazione slideshow
« il: 11 Set 2012, 17:37:48 »
Salve a tutti, sono nuovo del forum ma è parecchio che lo seguo per trovare informazioni e suggerimenti. Spero di non aver sbagliato sezione (molto probabile) ;D
Da pochissimo, direi un paio di giorni, mi sto cimentando nella realizzazione di una semplicissima slideshow ma ho qualche problemino. In pratica quando tento di installare il pacchetto mi dice:


JFolder::create: Rilevato loop infinito
Modulo Installa: fallita creazione cartella:/modules/mod_slideshow

Adesso, precisando che non ho alcuna esperienza nella realizzazione di moduli per joomla, vorrei sapere se qualcuno di voi ha per caso qualche minuto in più da dedicare a questo progetto, magari trova il problema e mi spiega dove sbaglio...Ho letto diverse guide anche se la maggior parte per Joomla 1.5 e non riesco davvero a capire il problema...

Ecco qui il pacchetto contenente tutti i file  :) 


http://www.vincenzoabete.altervista.org/pacchetto.html

Grazie mille.

Pagine: [1]


Web Design Bolzano Kreatif


Copyleft: Tutto il materiale pubblicato o comunque presente all'interno del sito www.joomla.it
può essere utilizzato, diffuso e modificato liberamente.
Hosting fornito gratuitamente da Joomlahost.it
Disegno web da kreatif multimedia srl