2 lỗi mà mình nói đến là lỗi
SQL Injection của mod Chang stat và lỗi
CSRF để add plugin.
1. Lỗi SQL Injection của Changuondyu StatisticsKhi khai thác lỗi này, attacker sẽ lấy được gần như toàn bộ database của bạn nếu muốn. Và thông thường, cái attacker nhắm đến là table user. Khi lấy được 3 cột: userid, password và salt => Attacker có thể login vào tài khoản của bất kỳ user nào mà không cần biết password là gì (Với điều kiện là Admin không biết config đúng file config.php cùa vBB).
Read More