حجت مردانه زاده

*قابل توجه تمامی کاربران*معرفی (لیست) افزونه های مخرب و آسیب زننده ی جوملا!

51 پست در این موضوع

با سلام خدمت کاربران و دوستان گرامی ....

security.png

در تاپیک سعی داریم لیست تمامی افزونه های مخرب و آسیب رسان به سایتهای جوملایی رو که مرجع رسمی جوملا اعلام میکند برای اطلاع عموم ، معرفی و منتشر کرده ...

http://docs.joomla.org/Vulnerable_Extensions_List#Check_and_Report.

توضیحی عرض بکنم. در این لیست مذکور... افزونه هایی که دارای مشکلات خطرناکی هستند.که به دو صورت به کاربران معرفی میشوند.

یک:

افزونه هایی که خطرناک هستند و اما شرکت سازنده هیچ گونه بسته ی امنیتی مکملی برای اون ارائه نداده (و یا خود جوملا به دلیل درجه بالای اسیب پذیری این افزونه ها ، اون ها رو از لیست خودش خارج، و کاربران رو به شدت از استفاده اونها منع کرده وخواسته که اگر در حال استفاده از اونها هستند، سریعا اونها رو حذف بکنند.

این افزونه ها با رنگ قرمز متمایز شده اند.

و

دوم:

سری دوم افزونه هایی هستند که مشکلات امنیتی در اونها وجود داشته که با بسته های آپدیت (پچ ها) اون افزونه ، هم اکنون قابل استفاده هستند....

این افزونه ها با رنگ آبی متمایز شده اند.

سوم:

این سری افزونه هایی هستند ، که دچار مشکلاتی بودند و هم اکنون مشکلات آنها برطرف شده و استفاده از آنها مانعی ندارد.(البته استفاده از آخرین ورژن آنها!!! )

این افزونه ها با رنگ سیاه متمایز شده اند.

-------------------------------------------

ما در اینجا از سال 2012 شروع میکنیم.برای مطالعه و آگاهی از سالهای قبل به لینک بالا مراجعه کنید.

لیست افزونه ها از ژانویه 2012 تا امروز

[TABLE=class: mceItemTable]

[TR]

[TD]نام افزونه

[/TD]

[TD]جزئیات

[/TD]

[TD]تاریخ افزوده شدن

[/TD]

[TD]منابع رفع خطا و راه حل های ارائه شده

[/TD]

[/TR]

[TR]

[TD]Kunena

[/TD]

[TD]SQLi + ID

[/TD]

[TD] 2012/10/22

[/TD]

[TD]Developer states current version not exploitable by reported methods

[/TD]

[/TR]

[TR]

[TD] Icagenda

[/TD]

[TD]SQLi

[/TD]

[TD]---

[/TD]

[TD]---

[/TD]

[/TR]

[TR]

[TD]JTag [joomlatag]

[/TD]

[TD]SQLi

[/TD]

[TD]---

[/TD]

[TD]---

[/TD]

[/TR]

[TR]

[TD] Freestyle Support

[/TD]

[TD]SQLi

[/TD]

[TD]

[/TD]

[TD]developer update statement 251012

[/TD]

[/TR]

[TR]

[TD] ACEFTP

[/TD]

[TD]DT

[/TD]

[TD] 2012/10/01

[/TD]

[TD]AceFTP 2.0.0 released. Developer statement 101012

[/TD]

[/TR]

[TR]

[TD]MijoFTP

[/TD]

[TD]DT[/TD]

[TD] 2012/10/01

[/TD]

[TD]*reported fixed prior to notification*[/TD]

[/TR]

[TR]

[TD] spider calendar lite

[/TD]

[TD]RFI[/TD]

[TD]2012/09/18[/TD]

[TD]---[/TD]

[/TR]

[TR]

[TD]RokModule[/TD]

[TD]SQLi[/TD]

[TD]Rereported 2012/09/18[/TD]

[TD]Developer states: no known exploits for our current versions of RokModule Joomla 2.5 - v1.3 Joomla 1.5 - v1.4[/TD]

[/TR]

[TR]

[TD] ICagenda[/TD]

[TD]SQLi

[/TD]

[TD]2012/08/12[/TD]

[TD]developer security release - v1.2.1[/TD]

[/TR]

[TR]

[TD]En Masse cart

[/TD]

[TD]RFI

[/TD]

[TD]2012/08/06

[/TD]

[TD]Developer upgrade statement to 3.1.3

[/TD]

[/TR]

[TR]

[TD]JCE (joomla content editor)[/TD]

[TD]Upload Restriction <2.2.4[/TD]

[TD]2012/08/05[/TD]

[TD]Developer states current version not exploitable[/TD]

[/TR]

[TR]

[TD]RSGallery2[/TD]

[TD]SQLi XSS[/TD]

[TD]2012/07/31[/TD]

[TD]Devleoper statement versions 3.2.0 for Joomla 2.5 and version 2.3.0 for Joomla 1.5 released[/TD]

[/TR]

[TR]

[TD]osproperty

[/TD]

[TD]Unrestricted uploads

[/TD]

[TD]2012/07/16

[/TD]

[TD] ----

[/TD]

[/TR]

[TR]

[TD]KSAdvertiser

[/TD]

[TD]RFI

[/TD]

[TD]2012/07/16

[/TD]

[TD]-----

[/TD]

[/TR]

[TR]

[TD]Shipping by State for Virtuemart[/TD]

[TD]elevated permissions (http://web-expert.gr/en)[/TD]

[TD]2012/06/16[/TD]

[TD]Upgrade to v2.5 download commercial product 300612[/TD]

[/TR]

[TR]

[TD]ownbiblio 1.5.3[/TD]

[TD]SQLi +[/TD]

[TD]2012/05/25[/TD]

[TD]-------[/TD]

[/TR]

[TR]

[TD]Ninjaxplorer <=1.0.6[/TD]

[TD]developer notification[/TD]

[TD]2012/04/25[/TD]

[TD]devloper statement upgrade to 1.0.7[/TD]

[/TR]

[TR]

[TD]Phoca Fav Icon[/TD]

[TD]Permissions Rewrite[/TD]

[TD]2012/04/16[/TD]

[TD] developer update 2.0.3 statement[/TD]

[/TR]

[TR]

[TD]estateagent improved[/TD]

[TD]sqli (eaimproved.eu)[/TD]

[TD]2012/04/12[/TD]

[TD]developer states previous version, not current version[/TD]

[/TR]

[TR]

[TD]bearleague[/TD]

[TD]sql[/TD]

[TD]2012/04/11[/TD]

[TD](no longer maintained)[/TD]

[/TR]

[TR]

[TD]JLive! Chat v4.3.1[/TD]

[TD]DT[/TD]

[TD]2012/04/06[/TD]

[TD]Developer reports as unproven[/TD]

[/TR]

[TR]

[TD]virtuemart 2.0.2[/TD]

[TD]SQLi[/TD]

[TD]2012/04/05[/TD]

[TD]developers release statementCurrent version 2.0.6 released[/TD]

[/TR]

[TR]

[TD]JE testimonial[/TD]

[TD]SQLi[/TD]

[TD]2012/03/23[/TD]

[TD]Developer states malicious report.[/TD]

[/TR]

[TR]

[TD] JaggyBlog[/TD]

[TD]excessive file permission[/TD]

[TD]2012/02/09[/TD]

[TD]version 1.3.1 released[/TD]

[/TR]

[TR]

[TD] Quickl Form[/TD]

[TD]xss[/TD]

[TD]2012/01/26[/TD]

[TD]در صورت استفاده از آن،سریعاً از سایت جوملایی خود حذف کنید![/TD]

[/TR]

[TR]

[TD] com_advert[/TD]

[TD]sqli - unknown developer[/TD]

[TD]2012/01/24

[/TD]

[TD]در صورت استفاده از آن،سریعاً از سایت جوملایی خود حذف کنید![/TD]

[/TR]

[TR]

[TD] Joomla Discussions Component[/TD]

[TD]sqli[/TD]

[TD]2012/01/18[/TD]

[TD]Discussions 1.4.1 released developer statement[/TD]

[/TR]

[TR]

[TD] HD Video Share (contushdvideoshare)[/TD]

[TD]sqli[/TD]

[TD]2012/01/18[/TD]

[TD]updated version 2.2[/TD]

[/TR]

[TR]

[TD] Simple File Upload 1.3[/TD]

[TD]RFI[/TD]

[TD]2012/01/01[/TD]

[TD]Developer update statement to 1.3.5[/TD]

[/TR]

[/TABLE]

------------------------------

در لیست زیر افزونه هایی که باگهای موجود دراونها توسط تیم های امنیتی و هکر در دنیا یافت شده، لیست شده اند. این افزونه ها در سایت جوملا جهانی قرار داده نشده اند. ولی با توجه به اینکه مستندات مشکل دار بودن اونها وجود داره،به همین خاطر به کاربران عزیز توصیه میکنیم که از این افزونه ها هم استفاده نکنند....!!!!

ناگفته نماند زحمات این بخش برعهده ی دوستان عزیزمون آقایان

Phantom Wolf و Pooyan Afzali

بوده .و این لیست توسط ایشان تکمیل خواهد شد. با تشکر و سپاس فراوان از ایشان...

[TABLE=class: mceItemTable, width: 753]

[TR]

[TD]عنوان افزونه (عنوان اکسپلویت)[/TD]

[TD]نوع آسیب پذیری[/TD]

[TD] میزان خطرپذیری [/TD]

[/TR]

[TR]

[TD]com_odudeprofile V2.x[/TD]

[TD]SQl Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]joomgalaxy

[/TD]

[TD]SQl Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_niceajaxpoll

[/TD]

[TD]SQl Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_movm

[/TD]

[TD]SQl Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_x-shop

[/TD]

[TD]SQl Injection

[/TD]

[TD]زیاد

[/TD]

[/TR]

[TR]

[TD](com_dshop

[/TD]

[TD]SQL Injection

[/TD]

[TD]زیاد

[/TD]

[/TR]

[TR]

[TD]com_club

[/TD]

[TD]SQL Injection

[/TD]

[TD]زیاد

[/TD]

[/TR]

[TR]

[TD]com_vid

[/TD]

[TD]SQL Injection

[/TD]

[TD]زیاد

[/TD]

[/TR]

[TR]

[TD]QContacts 1.0.6

[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_jobprofile

[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_alameda

[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD] com_hmcommunity

[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_msg

[/TD]

[TD]SQL Injection

[/TD]

[TD]زیاد

[/TD]

[/TR]

[TR]

[TD]com_sanpham[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_dir[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_car[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_jomdirectory[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_bbs[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_discussions[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[TR]

[TD]com_products[/TD]

[TD]SQL Injection[/TD]

[TD]زیاد[/TD]

[/TR]

[/TABLE]

******

انشاءلله در این تاپیک در طی فواصل زمانی افزونه هایی توسط تیم جوملا گزارش شده و در لینک رسمی بالا قرار داده میشوند، همین تاپیک به تمامی عزیزان اطلاع رسانی خواهد شد.

موفق و سربلند و پایدار باشید

یا حق

---------

ارادتمند شما ؛ حجت مردانه زاده

ویرایش شده در توسط Hojjat MardaneZadeh
بروزرسانی لیست...
2 کاربر پسند شده

Share this post


Link to post
Share on other sites

توجه توجه ....

لیست بروز شد...

طبق اعلام جوملا جهانی افزونه ی JE testimonial نیز به لیست افزوده گردید.

امروز 2012-03-23 مطابق با 1390-01-04

موفق و سربلند و پایدار باشید

یا حق

ویرایش شده در توسط Hojjat MardaneZadeh

Share this post


Link to post
Share on other sites

می خواستم اگه می شه در مورد لیست اصلی که لینکش رو گذاشتین هم یه توضیحاتی بدین.من زیاد متوجه نشدم.تعداد خیلی زیادی از افزونه ها حتی اونهایی که به صورت populre بودند هم توی این لیست هستن آخه؟!:21: یعنی این ها هم مشکل امنیتی دارن؟ یا اینکه مشکلشون حل شده؟! چه طوریاست؟!

Share this post


Link to post
Share on other sites

با سلام...

و عذر تقصیر بابت دیر آپدیت کردن این تاپیک....

لیست بروز شد.

امروز 1391/2/6 - 2012/04/26

توجه *

افزونه ی JE testimonial از لیست افزونه های خطرناک خارج شد .هم اکنون استفاده از آخرین ورژن این افزونه بلامانع است.

موفق و سربلند و پایدار باشید

یا حق

Share this post


Link to post
Share on other sites

می خواستم اگه می شه در مورد لیست اصلی که لینکش رو گذاشتین هم یه توضیحاتی بدین.من زیاد متوجه نشدم.تعداد خیلی زیادی از افزونه ها حتی اونهایی که به صورت populre بودند هم توی این لیست هستن آخه؟!:21: یعنی این ها هم مشکل امنیتی دارن؟ یا اینکه مشکلشون حل شده؟! چه طوریاست؟!

با سلام...

توضیحات تکمیلی و تشریحی در اولین پست تاپیک قرار گرفته شد. (تاپیک ویرایش گردید.)

موفق باشید و سربلند

یا حق

Share this post


Link to post
Share on other sites

با سلام ...

لیست بروز شد.

جدول افزونه های مخربی که توسط تیم های امنیتی یافت شده اند، افزوده شد...

امروز 1391/2/23 - 2012/05/13

----------------

به منظور تشگر از زحمت جنابPhantom Wolf ا 500امتیاز مثبت به ایشان افزوده شد.

موفق و سربلند و پایدار باشید

یا حق

Share this post


Link to post
Share on other sites

حجت جان دستت درد نکنه عالی بود. من همیشه از مطالب خوبه شما استفاده می کنم. ممنونتم

Share this post


Link to post
Share on other sites

دوست عزیز می خوام بدانم این افزونه هایی که شما می گویید اصلا سندیتی داره ... منبعی که بتوان به آن اطمینان کرد ... لطفا منبع را هم ذکر کنید ... تا بتوان به آن اطمینان کرد ...

واقعا خیلی خوب هست که کاربران بدانند چه افزونه هایی مشکل دار هستند و از آن استفاده نکنند و از همه مهمتر این مورد را بین دیگران اشتراک یگذارند ...

با تشکر از شما ..

Share this post


Link to post
Share on other sites

با سلام....

[h=2]چطور باید مطمئن بود که[/h]

دوست عزیز می خوام بدانم این افزونه هایی که شما می گویید اصلا سندیتی داره ... منبعی که بتوان به آن اطمینان کرد ... لطفا منبع را هم ذکر کنید ... تا بتوان به آن اطمینان کرد ...

واقعا خیلی خوب هست که کاربران بدانند چه افزونه هایی مشکل دار هستند و از آن استفاده نکنند و از همه مهمتر این مورد را بین دیگران اشتراک یگذارند ...

اگر تاپیک اول را خوب و درست مورد مطالعه قرار میدادید .دقیقا ذکر شده هستند که هر کدام از موارد گفته شده، دقیقا از صفحه ی امنیتی جوملا جهانی ذکر شده .(نقل گردیده!)

در تاپیک سعی داریم لیست تمامی افزونه های مخرب و آسیب رسان به سایتهای جوملایی رو که مرجع رسمی جوملا اعلام میکند برای اطلاع عموم ، معرفی و منتشر کرده ...

http://docs.joomla.org/Vulnerable_Ex...eck_and_Report.

توضیحی عرض بکنم. در این لیست مذکور... افزونه هایی که دارای مشکلات خطرناکی هستند.که به دو صورت به کاربران معرفی میشوند.

در مورد بخش دوم در پست اول تاپیک .باز هم ذکر شده که این افزونه ها هنوز توسط تیم جوملا جهانی ب ررسی نشده اما باگها و مشکلاتشون توسط تیم امنیتی جوملا ایران پیدا شده و برای آگاهسازی کاربران ایرانی تحت یک جدول جداگانه تمامی افزونه هایی که تا به امروز یافت شده ، لیست میشه

موفق و سربلند و پایدار باشید

یا حق

Share this post


Link to post
Share on other sites

دوست عزیز باگ های جدول اول که واسه خود تیم جهانی جوملاست

اما میدونید که امنیت مطلق نیست بالاخره تیم های امنیت دیگه هم فعالن تو دنیا و میان افزونه ها رو بررسی ئ تست نفوذ میزنن

تک تک افزونه های جدول دوم واسش اکسپلویت وجود داره هر کدومو شک داری بگو تا واست اسکپلوتشو بفرستم

Share this post


Link to post
Share on other sites

با تشکر از شما بله منبع جدول اول را دیدم ... من خوشبختانه از هیچ کدام از اینها استفاده نمی کنم البته می خواستم که ویرچومارت ورژن 2 را استفاده کنم که البته خبرهایی از مشکل دار بودن آن به گوشم خورده بود ... و برای همین منتظر ورژن جدیدش بودم که ورژن جدیدش 2.6 آن آمد ....

اگر منبع های دیگر را بگویید برای کاربران دیگر که می خواهند استفاده کنند خیلی بدر می خورد ... که باورشان شود که این افزونه ها مشکل دارند ...

از شما هم بابت معرفی این افزونه های پر خطر تشکر می کنم .....

Share this post


Link to post
Share on other sites

منابع جدول دوم priv8 (خصوصی ) هست و توسط تیم های زیر زمینی هک و امنیت ارائه میشه چون من خودم اینا رو از اونجا آوردم

حالا نمیدونم جای دیگه عمومی زده یا نه

Share this post


Link to post
Share on other sites

درود

حجت عزیز کامپوننت Time Returns که بنام com_timereturns هست به لیست اضافه کن که sql inject داره

Share this post


Link to post
Share on other sites

سلام دوستان

میشه لیست افزونه های مخرب رو منتشر کنید

در ضمن اگر امکانش هست لیست افزونه های خوب و کارا رو هم منتشر کنید

ممنونم

خیلی گلید

Share this post


Link to post
Share on other sites

جناب افضلی

سلام

خیلی از لطف شما متشکرم . من این افزونه ها را چک کردم از دوتای اونها استفاده می کردم خوشبختانه از نسخه آخر اونها استفاده می کنم و ظاهرا مشکلی ندارم .

کلاسها بسیار مفید و کاربردی است و از زحمتی که می کشید بسیار ممنونم .

به تمام دوستانی که از جوملا در کار طراحی استفاده میکنند توصیه می کنم در کلاسهای امنیت جوملا شرکت کنند . این کلاسها نه تنها مفید است بلکه ضروری و لازم و واجب است . این کلاسها اونقدر مفید هست که حتی در آینده میتونه تامین کننده امنیت سایتهای ایرانی منجر بشه و به تبع اون هم امنیت ملی ما تامین بشه .

خدا به شما توفیق و قوت بده .

یک پیشنهاد اینکه یک تاپیک بزنید تا دوستان بتونند نظراتشون در مورد کلاس و دوره بدهند و این تاپیک به دوستان دیگه کمک کنه تا بتونند تصمیم بگیرند در این کلاسها شرکت کنند تا هم برای خود اونها در آمد زائی کنه و هم در آِنده تامین کننده امنیت سایتهای ایرانی بشه .

ارادتمنده شما و جناب گلشنی و تما دوستان جوملای ایران

شصتی

Share this post


Link to post
Share on other sites

توجــــه:

جدول بروزرسانی گردید.

افزونه یShipping by State for Virtuemart

به لیست افزوده شد!

امروز : 2012/07/04 - 1391/04/15

سلام دوستان

میشه لیست افزونه های مخرب رو منتشر کنید

در ضمن اگر امکانش هست لیست افزونه های خوب و کارا رو هم منتشر کنید

ممنونم

خیلی گلید

لیست افزونه های مخرب در اولین پست همین تاپیک بصورت دروه ای بروز میشه.

افزونه های مفید هم در تایپک مخصوص به خود درج شده است.

لینک زیر:

http://joomlaforum.ir/showthread.php/1046-%D9%85%D8%B9%D8%B1%D9%81%DB%8C-%D8%A7%D9%81%D8%B2%D9%88%D9%86%D9%87-%D9%87%D8%A7%DB%8C-%D9%85%D9%81%DB%8C%D8%AF-%D8%AC%D9%88%D9%85%D9%84%D8%A7

موفق و سربلند و پایدار باشید

یا حق

Share this post


Link to post
Share on other sites

با تشکر از جناب شصتی و تمام کسانی که در دوره حضور پیدا کردند و میشه گفت که واقعا برای کار خودشون ارزش قائل هستند

واقعا کلاس مفید و ضروری بود ، با اینکه تاپیک بسیار سنگینی بود ولی واقعا خوب آموزش داده شد. به عنوان دوره اول واقعا عالی بود ، امنیت مباحث بسیار گستردهای داره ، متاسفانه به بحث امنیت زیاد توجهی نمی شه در حالی که به نظر من برای اعتبار یک طراح سایت باید خیلی خیلی مهم و ضروری باشه. امیدوارم در دوره های بعد بشه دوره های متفاوت امنیت گذاشت .

آقای افضلی و گلشنی هم سنگ تمام گذاشتن . و به شخصه ازشون تشکر می کنم

all the best for you:a2d3::a2d3::thanks:

Share this post


Link to post
Share on other sites

درود

جدیدا از کامپوننت osproperty حفره آپلود بدون نظارت تشخصی داده شده که هکر میاد با رفتن به ادرس مورد نظر و تکمیل فرم از مرور گر اقدام به اپلود شل میکنه که میتونه خطر ناک باشه

لطفا این کامپوننتو اگه دارید پاک کنید

نسخه اخرشم 2.0.2 (last update on Jul 12, 2012)

هست که اسیب پذیره البته تجاریه

Share this post


Link to post
Share on other sites

درود

این کامپوننتم یه آسیب پذیری پیدا کرده جدیدا که هکر میاد با ثبت نام و رفتن به مسیر آپلود و آپلود فایل شل در قالب پسوند عکس و بعد تغییر پسوند به شل اقدام به بایپس سایت و اجرای

شل میکنه

آخرین نسخه هم باگ داره

Share this post


Link to post
Share on other sites

توجــــه:

جدول بروزرسانی گردید.

افزونه های

osproperty

و

KSAdvertiser

به لیست افزوده شد!

امروز : 2012/07/16 - 1391/04/26

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری