#

-- จอง 1 --

ติดตาม

สงสัยจะยาว 

เว็ปที่ใช้ สคริปตัวนี้ เจ้าเดียวกันหรือป่าว ใน หน้าแรกๆ เห็นใช้กันเพียบเลย ตัวนี้

ยาวแน่ๆเลย

โหว่ น่ากลัว แจ้งเจ้าของเว็บยังค่ะนี่

ขอให้แก้ไขกันไวๆ

    น่ากลัว

โหว ร้ายกาจมาก ขอบคุณครับ

กระจายครับ โดนแฮ๊คกันกระจาย

อ้างถึงจาก: tarllovemint ใน 17 พฤศจิกายน 2017, 13:09:21
lnwphp ทุก version 3.5-3.6 ล่าสุด

Impact - High
{root_path}/mainfile/?.php
- สามารถทำ Injection ได้อย่างน้อย 2 จุด

Impact - Critical
{root_path}/admin/?.php
- สามารถวาง Backdoor ใส่ในเว็ปไซต์ได้อย่างน้อย 3 จุด

Impact - Normal
tables > lp_admin , lp_member
- password เก็บเป็น MD5 สามารถ Crack ออกได้

ผลกระทบ
- สามารถได้สิทธิ Admin ของเว็ป / เครื่อง

คำแนะนำ
ทำการแก้ไข หรือเลิกใช้งานไปใช้ตัวอื่นแทน
ตั้งรหัสผ่านยาวๆ เข้าไว้
ตรวจเช็คเว็ปตัวเองบ้าง

ปล.
- แค่ออกมาเตือนให้ระวังกันไว้เฉย ๆ
- ไม่รับแก้ไข ไม่ต้อง Inbox มาครับ
- ถ้าผู้พัฒนาต้องการยรายละเอียดช่องโหว่เพื่อออกแพทซ์ Inbox มาได้ครับ
- งดดราม่าทุกกรณี และไม่ต้องการให้ยาวนะครับ ย้ำว่าแค่ออกมาเตือน

จาก ผู้พัฒนาเองเลยนะครับ
ก่อนอื่นขอบคุณมากๆครับ
และเดี่ยวผมติดต่อไปหานะครับ

เข้าเรื่องเลยนะครับ

อันนี้เป็นไปได้ครับที่จะถูก Injection วาง Backdoor และอื่นๆครับ
(เมื่อก่อนไม่คิดครับว่าจะมีคนนำไปใช้งานเยอะขนาดนี้ เลยไม่ได้ใส่ใจรายละเอียดมากครับ ยอมรับว่าผิดเองครับ)
เพราะยอดสั่งชื้อสคริปเป็นถูกต้องกับทางเว็บเลยนะครับ และสามารถอัพเดจได้นี้มีไม่ถึง 300 เว็บครับ

แต่ยอดเปิดใช้งาน สคริป มีถึง 2000+ เว็บไชต์ครับโดย Key ซ้ำๆกันก็มีครับ (ส่วนใหญ่มาจาก แบบไม่จำกัดโดเมน และ แบบไม่ Lock โค๊ต) เยอะด้วยครับ
ถ้าถามว่าเลิกสนใจไหม
อันนี้เลิกสนไปนานละครับ และไม่ อัพเดจให้ มาเป็นปีละครับ

จะมีแค่ลูกค้าใหม่ๆครับที่จะได้ V4 หรือ 3.6.3 ไปใช้งานครับ นอกนั้นผม ยอมรับ ว่าลอยแแพครับ
V4 ล้างโค๊ตเขียนใหม่หมด ด้วย Framework PIPe MVC พร้อม App มือถือ (ขายให้องกรณ์)

V3.6.2 เพิ่มฟังชั้นต่างๆที่เกี่ยวกับ Injection และ XSS เข้าไป แต่ผมเองก็ไม่แน่ใจว่ากันได้หมดไหม
V3.6.3 เพิ่มส่วนต่างๆเกี่ยวกับ Keylock และรีโค๊ตใหม่บางจุดเองครับ

ส่วนคนที่โดนแล้วติดต่อมาหาทางเว็บผู้พัฒนา
ทางผู้พัฒนาเองก็ยินดีอัพเดจให้ครับ ไม่ได้ปิดกั้นครับ

แต่คนที่โดนส่วนใหญ่เท่าที่เจอ
จะไม่มีในรายการสั่งชื้อของเว็บผมนะครับ และมาขออัพเดจฟรีๆ
อันนี้ทางผมก็คงไม่ให้อัพเดจนะครับ
ต้องหาทางแก้ไขเอาเองนะครับ (ขออภัยด้วยครับ)

ส่วนใครชื้อจริงถ้าโดนก็ติดต่อมาได้เลยครับ พร้อมแก้ไขให้ครับ

เพราะเท่าที่ดูจากระบบ วันนี้ 2017-11-17 ก็มีคนเปิดใช้งานไปอีก 9 ครั้ง
จะสั่งชื้อหรือไม่อันนี้ไม่รู้ครับ

ผมเองกล้าพูดได้เลยครับ Script นี้ทางผมเองก็โดนก็อปไปขายต่อไปแจกต่อเยอะครับ

เปิดใช้งานทุกวันไม่ต่ำกว่าวันละ 10 เว็บครับ
(อันนี้น่าจะไม่ได้ชื้อกับทางผมเพราะไม่มีรายการสั่งชื้อเข้านานละครับ)

หากจะมาบอกว่าทำไม่ไม่อัพเดจหรืออะไรเทือกๆนี้ ผมอัพเดจให้ครับ แต่อัพให้แค่คนที่ชื้อจริงๆครับ

สุดท้ายก็ขอบคุณมากๆเลยครับ
ทางผมเองจะได้นำไปพัฒนาแก้ไขต่อไปครับ

เป็นเรื่องดีที่มีการรายงานให้รู้กันและจะได้มีการแก้ไข

ขอบคุณที่ชี้จุดอ่อนครับ จะได้ป้องกันได้ทัน

ผู้พัฒนาสคริปออกมาแบบนี้ คนใช้ก็อุ่นใจ อัพเดทกันบ่อยๆ


อันนี้บ่นนะ บางคนโทษโฮสอีกหาว่าโฮสไม่ดี ผมพึ่งโดนมา
ติดต่อหาว่าโฮสเน่าบ้างละ หาว่าโฮสเป็นคนแฮ็คเองบ้างละ โอ้ย ...

จะได้แจ้งลูกค้า เพราะเห็นหลายคนใช้ 

 

คุยไลน์ อ่านอย่างเดียว      ไม่ตอบสักที ! 
 (จนเลิกใช้สคริปนี้ !)  

อ้างถึงจาก: benzbenz900 ใน 17 พฤศจิกายน 2017, 16:28:41

อ้างถึงจาก: tarllovemint ใน 17 พฤศจิกายน 2017, 13:09:21
lnwphp ทุก version 3.5-3.6 ล่าสุด

Impact - High
{root_path}/mainfile/?.php
- สามารถทำ Injection ได้อย่างน้อย 2 จุด

Impact - Critical
{root_path}/admin/?.php
- สามารถวาง Backdoor ใส่ในเว็ปไซต์ได้อย่างน้อย 3 จุด

Impact - Normal
tables > lp_admin , lp_member
- password เก็บเป็น MD5 สามารถ Crack ออกได้

ผลกระทบ
- สามารถได้สิทธิ Admin ของเว็ป / เครื่อง

คำแนะนำ
ทำการแก้ไข หรือเลิกใช้งานไปใช้ตัวอื่นแทน
ตั้งรหัสผ่านยาวๆ เข้าไว้
ตรวจเช็คเว็ปตัวเองบ้าง

ปล.
- แค่ออกมาเตือนให้ระวังกันไว้เฉย ๆ
- ไม่รับแก้ไข ไม่ต้อง Inbox มาครับ
- ถ้าผู้พัฒนาต้องการยรายละเอียดช่องโหว่เพื่อออกแพทซ์ Inbox มาได้ครับ
- งดดราม่าทุกกรณี และไม่ต้องการให้ยาวนะครับ ย้ำว่าแค่ออกมาเตือน

จาก ผู้พัฒนาเองเลยนะครับ
ก่อนอื่นขอบคุณมากๆครับ
และเดี่ยวผมติดต่อไปหานะครับ

เข้าเรื่องเลยนะครับ

อันนี้เป็นไปได้ครับที่จะถูก Injection วาง Backdoor และอื่นๆครับ
(เมื่อก่อนไม่คิดครับว่าจะมีคนนำไปใช้งานเยอะขนาดนี้ เลยไม่ได้ใส่ใจรายละเอียดมากครับ ยอมรับว่าผิดเองครับ)
เพราะยอดสั่งชื้อสคริปเป็นถูกต้องกับทางเว็บเลยนะครับ และสามารถอัพเดจได้นี้มีไม่ถึง 300 เว็บครับ

แต่ยอดเปิดใช้งาน สคริป มีถึง 2000+ เว็บไชต์ครับโดย Key ซ้ำๆกันก็มีครับ (ส่วนใหญ่มาจาก แบบไม่จำกัดโดเมน และ แบบไม่ Lock โค๊ต) เยอะด้วยครับ
ถ้าถามว่าเลิกสนใจไหม
อันนี้เลิกสนไปนานละครับ และไม่ อัพเดจให้ มาเป็นปีละครับ

จะมีแค่ลูกค้าใหม่ๆครับที่จะได้ V4 หรือ 3.6.3 ไปใช้งานครับ นอกนั้นผม ยอมรับ ว่าลอยแแพครับ
V4 ล้างโค๊ตเขียนใหม่หมด ด้วย Framework PIPe MVC พร้อม App มือถือ (ขายให้องกรณ์)

V3.6.2 เพิ่มฟังชั้นต่างๆที่เกี่ยวกับ Injection และ XSS เข้าไป แต่ผมเองก็ไม่แน่ใจว่ากันได้หมดไหม
V3.6.3 เพิ่มส่วนต่างๆเกี่ยวกับ Keylock และรีโค๊ตใหม่บางจุดเองครับ

ส่วนคนที่โดนแล้วติดต่อมาหาทางเว็บผู้พัฒนา
ทางผู้พัฒนาเองก็ยินดีอัพเดจให้ครับ ไม่ได้ปิดกั้นครับ

แต่คนที่โดนส่วนใหญ่เท่าที่เจอ
จะไม่มีในรายการสั่งชื้อของเว็บผมนะครับ และมาขออัพเดจฟรีๆ
อันนี้ทางผมก็คงไม่ให้อัพเดจนะครับ
ต้องหาทางแก้ไขเอาเองนะครับ (ขออภัยด้วยครับ)

ส่วนใครชื้อจริงถ้าโดนก็ติดต่อมาได้เลยครับ พร้อมแก้ไขให้ครับ

เพราะเท่าที่ดูจากระบบ วันนี้ 2017-11-17 ก็มีคนเปิดใช้งานไปอีก 9 ครั้ง
จะสั่งชื้อหรือไม่อันนี้ไม่รู้ครับ

ผมเองกล้าพูดได้เลยครับ Script นี้ทางผมเองก็โดนก็อปไปขายต่อไปแจกต่อเยอะครับ

เปิดใช้งานทุกวันไม่ต่ำกว่าวันละ 10 เว็บครับ
(อันนี้น่าจะไม่ได้ชื้อกับทางผมเพราะไม่มีรายการสั่งชื้อเข้านานละครับ)

หากจะมาบอกว่าทำไม่ไม่อัพเดจหรืออะไรเทือกๆนี้ ผมอัพเดจให้ครับ แต่อัพให้แค่คนที่ชื้อจริงๆครับ

สุดท้ายก็ขอบคุณมากๆเลยครับ
ทางผมเองจะได้นำไปพัฒนาแก้ไขต่อไปครับ

อัพเดทคนที่ซื้อ ส่วนผม ปล่อย 555     [สุดท้ายผมจำได้เลย คุณทำงานบริษัท ผมเลยปล่อยแล้วพอมาทักเป็นช่วงๆ คุณก็แค่อ่านอย่างเดียว]

รออัพเดท ครับผม หลังเที่ยงคือเที่ยงไหนหลอครับผม

อ้างถึงจาก: 01111225 ใน 19 พฤศจิกายน 2017, 17:48:31
รออัพเดท ครับผม หลังเที่ยงคือเที่ยงไหนหลอครับผม

หลังเที่ยง บางทีทางผมเองก็ทำไม่ทันครับ
ตอนแรกจะปล่อยเลยครับ แต่มีคนแจ้งบักที่ให้แก้มาเพิ่ม เลยแก้พร้อมกันแล้วปล่อยเลยครับ

สามารถเข้าไปโหลดได้จากลิ้งนี้ได้เลย แค่ใส่อีเมล แล้วทำตามคำแนะนำที่ขึ้นมาก็สามารถอัพเดจได้แล้วครับ
https://goo.gl/ArxcEp