уязвимость Php

Просканил я довольно популярный портал
и мне выскочила така инфа -

{Подозрение на серьезную уязвимость
Множественные уязвимости (PHP)
Описание

Краткое описание
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, обойти ограничения безопасности и скомпрометировать систему.
Подробное описание
1. Массив \"GLOBALS\" является недостаточно защищенным. Удаленный пользователь может переопределить глобальные переменные с помощью \"multipart/form-data\" POST запроса со специально сформированным полем file upload или посредством сценария, вызывающего функцию \"extract()\" или \"import_request_variables()\". Удачная эксплуатация уязвимости требует, чтобы опция register_globals была включена в конфигурационном файле PHP.
2. Обнаружена ошибка при обработке входных данных в функции \"parse_str()\", когда эта функция вызывается только с одним параметром. Злоумышленник может отключить memory_limit во время обработки входных данных в функции parse_str() путем отправки уязвимой функции большого количества переменных. Функция parse_str(), на время обработки входных данных, включает опцию register_globals, и если во время выполнения функции произойдет отключение memory_limit, то опция register_globals останется включенной до перезагрузки web сервера.
3. Межсайтовый скриптинг возможен при обработке входных данных в функции phpinfo(). Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий на стороне жертвы в контексте безопасности уязвимого сайта.
4. Удаленный пользователь может обойти механизмы безопасности \"safe_mode\" и \"open_basedir\" с помощью модулей \"ext/curl\" и \"ext/gd\".
5. Неопределенная ошибка при вызове функции virtual() в Apache 2 может быть использована для обхода ограничений безопасности директив \"safe_mode\" и \"open_basedir\".
Уязвимые версии
PHP 4.4.0 и предыдущие
PHP 5.0.5 и предыдущие
Использование уязвимости
Использование уязвимости удаленно: да
Использование уязвимости локально: да
Ложные срабатывания (False Positives)
Вывод о наличии уязвимости сделан на основе версии по результатам идентификации сервисов и приложений на сканируемом узле. Если при установке обновления номер версии не менялся, возможно ложное обнаружение уязвимости.
Пропуск уязвимости (False Negatives)
Случаев пропуска уязвимости зарегистрировано не было. Причины возможных пропусков неизвестны.
Решение ...

Для устранения уязвимости ...
Ссылки
../}

Что надо чтоб произвести аттаку?

 

Прямо отвечу на поставленный вопрос : мозги, руки, ПК, соедниение с Интернет, http://php.net

 

не а какой метод? какие действаия (например черех ХСС можно фниффер залить и стырить куки)? остальное я сам сделаю наприме...
И вообще где достать оригинальную или кряркнутую версию Xspider потомучто когда сканю он показывае все Дос атаки! а когда допустим есть уязвимость \\\\\\\"Незащищенная передача данных\\\\\\\"


Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде.
Все детали этой уязвимости отображаются только в коммерческой версии

 

Знаешь, если не знаешь как помочь, то лучше промолчать, а не флеймить!

http://rapidshare.de/files/19085569/XSpider_7.5.zip.html, но небольшя проблемка, она ищет дыу на удивление очень долго, так что я юзаю старенькую

 

у меня 7.0 версия - вполне устраивает

 

всё всем спасибо на вашем форуме докрена софта и ссылок на софт! нашол пожходящуу версию иксспидера! но всёже как зная уязвимость которую я написал выже использовать в своё благо, против того сайта? >=)))

 

Бугогогогаа... мегамозгЪ...
Я к тому, что надо приложить чуток усилий.. зайти на пхп.нет , набрать в поиске $_GLOBALS, набрать register_globals , узнать чем эта опция опасна,
узнать что делает ф-я extract() в конце концов!
а потом лезьт на форум. удачи =)

 

давай ссылку, в слепую сказать не могу

 

И как всегда на помощь спещит наш любимой варез-порталище!
http://flooder.biz !

 

гыы)) а можт ктонить даст статейку про ддос аттаки для начинающих? бум сидеть изучать желательно с софтом )))

 

интересная тема ддос аттаки для начинающих
Развелось вас..
http://forum.antichat.ru/thread15702.html