Уязвимость MODx
Сегодня случайно заметил нового юзера в списке т.к. регистрации нет, я был удивлен, зашел в Яндекс.Метрику и у видел следующее:
Соответственно "fuckyoumodxrevolutionagain2" это начало мыла, которое хранилось в бд, логин был connectorAdmin. Юзера то я удалил и завершил сеансы, но странно, вроде бы MODX Revolution 2.3.1-pl и об уязвимости новостей небыло.
Возможно это отголосок прошлых версий?
Соответственно "fuckyoumodxrevolutionagain2" это начало мыла, которое хранилось в бд, логин был connectorAdmin. Юзера то я удалил и завершил сеансы, но странно, вроде бы MODX Revolution 2.3.1-pl и об уязвимости новостей небыло.
Возможно это отголосок прошлых версий?
04 октября 2014, 14:32
Комментарии: 16
Так а на какой странице был вызов этой инъекции? Какие компоненты и сниппеты на этой странице вызываются? Какие плагины?
p.s. судя по again2, может стоит ожидать скорого анонса от Евгения Борисова (Agel_Nash'а)? Если мне память не изменяет, он как раз 2 крупные уязвимости на белый свет вытащил. Эта будет третьей
p.s. судя по again2, может стоит ожидать скорого анонса от Евгения Борисова (Agel_Nash'а)? Если мне память не изменяет, он как раз 2 крупные уязвимости на белый свет вытащил. Эта будет третьей
Судя по ctx это старая уязвимость с неверной инициализацией контекста в коннекторах админки.
Может быть, что её пофиксили не до конца. В любом случае, советую закрывать админку по паролю или ip.
Может быть, что её пофиксили не до конца. В любом случае, советую закрывать админку по паролю или ip.
Вообще берите за правило при установке MODX-а указывать уникальный префикс для таблиц. Это спасет ваш сайт от 99.9% всех старых и новых уязвимостей по SQL-инъекциям. Это и Женя подтверждал. Посмотрите на скрин, там четко указано modx_users. Нельзя в SQL-инъекцию передать системную настройку MODX-а префикса таблиц.
Вообще, полезно было бы сформулировать политику безопасности для админов модэкса. Особенно это важно для начинающих. Хотя бы основные моменты.
1. Перенос админки.
2. Переименование админки.
3. Закрывать паролем.
4. Выставлять уникальный префикс у таблиц.
Какие из пунктов важные, какие нет. Вот бы выяснить.
1. Перенос админки.
2. Переименование админки.
3. Закрывать паролем.
4. Выставлять уникальный префикс у таблиц.
Какие из пунктов важные, какие нет. Вот бы выяснить.
Принимай Как защитить MODX Revolution от возможных взломов
Я писал об этом ещё в марте.
Я писал об этом ещё в марте.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
19 ноября 2024, 10:51
Решил свою проблему через имя пользователя, но хотелось бы через права пользователя «Неограниченные права»
<?php
/**
* Системное событие OnMan...
19 ноября 2024, 09:09
Спасибо, тоже очень интерестное решение.
18 ноября 2024, 15:21
'where' => [
'Data.price:!='=>'0'
]
18 ноября 2024, 14:19
miniShop2.Order.add('extfld_delivery_price','100', function() {
miniShop2.Order.getcost();
})
Это вот работает, но чтобы увид...
18 ноября 2024, 10:11
Благодарю за ответы.
16 ноября 2024, 21:12
Спасибо. Работает.
