Уязвимость MODx
Сегодня случайно заметил нового юзера в списке т.к. регистрации нет, я был удивлен, зашел в Яндекс.Метрику и у видел следующее:
Соответственно "fuckyoumodxrevolutionagain2" это начало мыла, которое хранилось в бд, логин был connectorAdmin. Юзера то я удалил и завершил сеансы, но странно, вроде бы MODX Revolution 2.3.1-pl и об уязвимости новостей небыло.
Возможно это отголосок прошлых версий?
Соответственно "fuckyoumodxrevolutionagain2" это начало мыла, которое хранилось в бд, логин был connectorAdmin. Юзера то я удалил и завершил сеансы, но странно, вроде бы MODX Revolution 2.3.1-pl и об уязвимости новостей небыло.
Возможно это отголосок прошлых версий?
04 октября 2014, 14:32
Комментарии: 16
Так а на какой странице был вызов этой инъекции? Какие компоненты и сниппеты на этой странице вызываются? Какие плагины?
p.s. судя по again2, может стоит ожидать скорого анонса от Евгения Борисова (Agel_Nash'а)? Если мне память не изменяет, он как раз 2 крупные уязвимости на белый свет вытащил. Эта будет третьей
p.s. судя по again2, может стоит ожидать скорого анонса от Евгения Борисова (Agel_Nash'а)? Если мне память не изменяет, он как раз 2 крупные уязвимости на белый свет вытащил. Эта будет третьей
Судя по ctx это старая уязвимость с неверной инициализацией контекста в коннекторах админки.
Может быть, что её пофиксили не до конца. В любом случае, советую закрывать админку по паролю или ip.
Может быть, что её пофиксили не до конца. В любом случае, советую закрывать админку по паролю или ip.
Вообще берите за правило при установке MODX-а указывать уникальный префикс для таблиц. Это спасет ваш сайт от 99.9% всех старых и новых уязвимостей по SQL-инъекциям. Это и Женя подтверждал. Посмотрите на скрин, там четко указано modx_users. Нельзя в SQL-инъекцию передать системную настройку MODX-а префикса таблиц.
Вообще, полезно было бы сформулировать политику безопасности для админов модэкса. Особенно это важно для начинающих. Хотя бы основные моменты.
1. Перенос админки.
2. Переименование админки.
3. Закрывать паролем.
4. Выставлять уникальный префикс у таблиц.
Какие из пунктов важные, какие нет. Вот бы выяснить.
1. Перенос админки.
2. Переименование админки.
3. Закрывать паролем.
4. Выставлять уникальный префикс у таблиц.
Какие из пунктов важные, какие нет. Вот бы выяснить.
Принимай Как защитить MODX Revolution от возможных взломов
Я писал об этом ещё в марте.
Я писал об этом ещё в марте.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
5 часов назад
Понятно, изучать вкладки в migx…
Так то я пока освоил: создаем и заполняем таблицу с данными… Потом ее выводим…
Вчера в 00:59
Будет обновление АПИ до 3 версии или нет????
25 апреля 2024, 16:40
Когда планируется обновление? :'э
25 апреля 2024, 14:36
Насколько я помню, не во всех последних релизах была проблема со старой версией PHP (с 7й), а в 2.8.6 и 3.0.4 (предыдущих на текущий момент релизах из...
25 апреля 2024, 09:58
Попробую, спасибо!
25 апреля 2024, 00:32
Демо вроде автор закрыл, а ссылка из поста на компонент вполне рабочая, или о чем речь?
24 апреля 2024, 14:54
Давай попробуем вот так — youtu.be/BbyfFDARgZU