[Office] 1.7.0 - улучшение безопасности
Привет, друзья!
Вдохновение от недавней MODXpo еще не прошло, зато появились сообщения о целенаправленной атаке на сайты с установленным дополнение Office.
Суть в том, что какие-то нехорошие люди шлют запросы напрямую на ajax коннектор с указанием email по списку и спамерским сообщением в пароле. Так как Office по умолчанию отправляет пароль и люди видят этот спам от имени сайта.
Сообщения такие появились пару дней назад, и должен признать, это очень остроумный способ рассылки.
Так как платные дополнения у меня в приоритете, я немедленно бросил все дела и выпустил новую версию, которая исправляет возможность делать подобные гадости аж двумя способами.
Во-первых, если пользователь указал в форме регистрации свой пароль (или спамерское сообщение), на почте он его не увидит. И правда, зачем это нужно, если он сам его указал — он же его знает, верно?
Автоматически сгенерированные пароли будут приходить, как и прежде. Не забудьте обновить чанк tpl.Office.auth.register, чтобы красиво прятать блок с паролем, при его отсутствии!
Во-вторых, я встроил CSRF токены, которые давно и успешно работают на modhost/modstore. Суть в том, что при отправке формы добавляется еще поле csrf со случайным кодом, который сравнивается со значением в сессии пользователя.
Отсюда 3 вывода:
— У юзера вообще должна быть сессия между запросами. Для робота это означает необходимость приёма и отправки сессионной куки.
— Юзер должен открыть страницу с формой входа, чтобы получить текущее значение csrf токена, просто долбиться на коннектор больше не выйдет.
— А после регистрации пользователя и сброса пароля, токен генерируется заново — так что нужно снова открыть страницу входа.
Конечно, можно написать робота, который будет соблюдать все эти правила, но это уже гораздо сложнее, чем просто слать POST запросы. А учитывая отключенную возможность отправить свой текст вместо пароля — и вовсе, бессмысленно.
Как мне кажется, заодно решается и вопрос с капчей, которую многие хотят встроить для защиты — CSRF должен помочь и с этим.
Если вдруг, по какой-то причине, новая функция вам помешает — её можно отключить системной настройкой office_check_csrf. Так что, друзья, срочно обновляем все свои сайты и радуемся!
Кстати, вот заметка от Володи, как почистить левые аккаунты.
Вдохновение от недавней MODXpo еще не прошло, зато появились сообщения о целенаправленной атаке на сайты с установленным дополнение Office.
Суть в том, что какие-то нехорошие люди шлют запросы напрямую на ajax коннектор с указанием email по списку и спамерским сообщением в пароле. Так как Office по умолчанию отправляет пароль и люди видят этот спам от имени сайта.
Сообщения такие появились пару дней назад, и должен признать, это очень остроумный способ рассылки.
Так как платные дополнения у меня в приоритете, я немедленно бросил все дела и выпустил новую версию, которая исправляет возможность делать подобные гадости аж двумя способами.
Во-первых, если пользователь указал в форме регистрации свой пароль (или спамерское сообщение), на почте он его не увидит. И правда, зачем это нужно, если он сам его указал — он же его знает, верно?
Автоматически сгенерированные пароли будут приходить, как и прежде. Не забудьте обновить чанк tpl.Office.auth.register, чтобы красиво прятать блок с паролем, при его отсутствии!
Во-вторых, я встроил CSRF токены, которые давно и успешно работают на modhost/modstore. Суть в том, что при отправке формы добавляется еще поле csrf со случайным кодом, который сравнивается со значением в сессии пользователя.
Отсюда 3 вывода:
— У юзера вообще должна быть сессия между запросами. Для робота это означает необходимость приёма и отправки сессионной куки.
— Юзер должен открыть страницу с формой входа, чтобы получить текущее значение csrf токена, просто долбиться на коннектор больше не выйдет.
— А после регистрации пользователя и сброса пароля, токен генерируется заново — так что нужно снова открыть страницу входа.
Конечно, можно написать робота, который будет соблюдать все эти правила, но это уже гораздо сложнее, чем просто слать POST запросы. А учитывая отключенную возможность отправить свой текст вместо пароля — и вовсе, бессмысленно.
Как мне кажется, заодно решается и вопрос с капчей, которую многие хотят встроить для защиты — CSRF должен помочь и с этим.
Если вдруг, по какой-то причине, новая функция вам помешает — её можно отключить системной настройкой office_check_csrf. Так что, друзья, срочно обновляем все свои сайты и радуемся!
Кстати, вот заметка от Володи, как почистить левые аккаунты.
17 ноября 2017, 15:21
Комментарии: 29
Василий, приветствую!
Спасибо за обновление. Однако, есть один момент.
На одном из проектов используется регистрация по номеру телефона. При первой попытке отправить форму, если не было ошибок в форме регистрации, все отлично, токен проходит проверку. Однако, если ввести код подтверждения из смс, и попробовать отправить, возникает ошибка токена. Поэтому пришлось отключить эту функцию через системные настройки.
Спасибо за обновление. Однако, есть один момент.
На одном из проектов используется регистрация по номеру телефона. При первой попытке отправить форму, если не было ошибок в форме регистрации, все отлично, токен проходит проверку. Однако, если ввести код подтверждения из смс, и попробовать отправить, возникает ошибка токена. Поэтому пришлось отключить эту функцию через системные настройки.
Доброго времени суток!
Подскажите пожалуйста пару моментов как правильней делать и где копать
1. Создал контроллер auth2.class.php, поправил formRegister, проверял некоторые поля из формы, например проверку ссылки Вк:
Правильно ли так проверять поля из формы?
2. Нужно же удалять старый контроллер контроллер auth.class.php?
т.к. я в инспекторе кода поменяю с auth2/formRegister на auth/formRegister и спокойно зарегистрируюсь с помощью email, без обязательных полей
3. Есть ли js колбеки, например мне после того как регистрация прошла и jGlow высвечивает сообщение о том что мне выслана ссылка, мне нужно закрывать модальное окно регистрации и открывать другое окно более информативное чем jGlow.
Или придется копировать /assets/components/office/js/auth/default.js и переписывать?
4. Так же еще небольшой вопрос, при отправке не присваивается класс error для input если они не прошли проверку, как бы хочется выделять красным input. Тут я полагаю переписывать надо auth2.class.php и default.js.
В auth2.class.php для функции error дополнительно передавать массив и название поля с ошибкой
В ajaxForm все проще конечно было со 2 и 3 пунктом :)
Подскажите пожалуйста пару моментов как правильней делать и где копать
1. Создал контроллер auth2.class.php, поправил formRegister, проверял некоторые поля из формы, например проверку ссылки Вк:
// Check vk
$vk = trim(@$data['vk']);
if (!empty($vk)) {
if (!preg_match('/https?:\/\/(www\.)?vk\.com\/([^\/].+)/', $vk)) {
return $this->error($this->modx->lexicon('Неверная ссылка на ВКонтакте'));
}
}else{
return $this->error('Вы не указали ссылку на ВКонтакте!');
}Правильно ли так проверять поля из формы?
2. Нужно же удалять старый контроллер контроллер auth.class.php?
т.к. я в инспекторе кода поменяю с auth2/formRegister на auth/formRegister и спокойно зарегистрируюсь с помощью email, без обязательных полей
3. Есть ли js колбеки, например мне после того как регистрация прошла и jGlow высвечивает сообщение о том что мне выслана ссылка, мне нужно закрывать модальное окно регистрации и открывать другое окно более информативное чем jGlow.
Или придется копировать /assets/components/office/js/auth/default.js и переписывать?
4. Так же еще небольшой вопрос, при отправке не присваивается класс error для input если они не прошли проверку, как бы хочется выделять красным input. Тут я полагаю переписывать надо auth2.class.php и default.js.
В auth2.class.php для функции error дополнительно передавать массив и название поля с ошибкой
$this->error('Ошибка поля VK', array('err' => 'vk'));В ajaxForm все проще конечно было со 2 и 3 пунктом :)
«Конечно, можно написать робота, который будет соблюдать все эти правила, но это уже гораздо сложнее, чем просто слать POST запросы........»
Обновился я до последней версии и решил рассказать одному своему знакомому php-программисту мол
смотри какая штука должна защитить от регистрации левых аккаунтов. На что мне он через 5 минут прислал файл в 45 строчек кода — который за секунду 100 аккаунтов регистрирует несмотря на csrf токкены.
Просто два последовательных запроса через curl на форму регистрации, первым получает её, вторым отправляет.
Конечно, следует сказать, что для максимального удобства пользователей капча на сайте не используется.
Так что на счёт большой сложности написания подобного робота я не совсем уверен, но за дополнительную защиту, конечно, спасибо автору.
Обновился я до последней версии и решил рассказать одному своему знакомому php-программисту мол
смотри какая штука должна защитить от регистрации левых аккаунтов. На что мне он через 5 минут прислал файл в 45 строчек кода — который за секунду 100 аккаунтов регистрирует несмотря на csrf токкены.
Просто два последовательных запроса через curl на форму регистрации, первым получает её, вторым отправляет.
Конечно, следует сказать, что для максимального удобства пользователей капча на сайте не используется.
Так что на счёт большой сложности написания подобного робота я не совсем уверен, но за дополнительную защиту, конечно, спасибо автору.
Василий, подскажи где этот глюченный лексикон найти?
joxi.ru/zANpLRJsBkQ6Gm
'brЭто поле не должно быть пустым'
Разобрался, что из-за плагина и в контроллере
пофиксить это можно:
joxi.ru/zANpLRJsBkQ6Gm
'brЭто поле не должно быть пустым'
Разобрался, что из-за плагина и в контроллере
// Check vk
$vk = trim($_POST['vk']);
if (!empty($vk)) {
if (!preg_match('/https?:\/\/(www\.)?vk\.com\/([^\/].+)/', $vk)) {
$modx->error->addField('vk', 'Неверная ссылка на ВКонтакте.');
$modx->event->output('Неверная ссылка на ВКонтакте.');
}
}else{
$modx->error->addField('vk', 'Это поле не должно быть пустым.');
$modx->event->output('Вы не указали ссылку на ВКонтакте!');
}пофиксить это можно:
protected function _formatProcessorErrors(modProcessorResponse $response, $glue = 'br')
{
****
}
//заменив $glue = '< br >' - без пробелов
protected function _formatProcessorErrors(modProcessorResponse $response, $glue = '< br >')
{
****
}
Ну вообще то авторизовать пользователя можно по чему угодно, хоть по имени, да и сделать поле телефона уникальным тоже труда не составит, я уже молчу что можно не делая его уникальным просто на событие добавить ручную проверку уникальности, код древний как говно мамонта, да и не везде правильный, но вот пример абсолютно кастомной авторизации с регистрацией по любому полю github.com/pavel-one/modxCustomAuth
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| Office | 1.9.5-pl от 01.10.2021 | 6 971 |
| AjaxForm | 1.2.2-pl от 17.10.2021 | 19 344 |
| miniShop2 | 4.3.0-pl от 02.07.2023 | 25 490 |
22 апреля 2024, 17:19
Я нафигачил просто несколько условий
22 апреля 2024, 12:57
Данная ошибка в логе никак не связана с проверкой доступа по модификатору pasraccess.
Можете написать в ТГ в профиле.
20 апреля 2024, 16:08
Смотрите ошибки в консоли браузера.
20 апреля 2024, 15:47
{set $data = id_ресурса | resource : 'название_тв_migx' | fromJSON}
{foreach $data as $item}
{$item.name}
...
19 апреля 2024, 12:48
Постараюсь в свободное время это сделать, спасибо за предложение
19 апреля 2024, 11:49
Самое лучшее решение в данной ситуации — это сделать отдельный файл для работы с этим API, например:
/assets/components/mycomponent/api.phpну или про...
18 апреля 2024, 21:54
Не отображаются добавленные поля в редактировании пользователя.
Добавил одно поле в «общую информацию», для другого создал вкладку, в ней ещё вкладку...
18 апреля 2024, 17:01
попробуйте убрать exit(true);
17 апреля 2024, 19:46
cпасибо!