Изменение префиксов таблиц на modhost

Сегодня Николай Ланец шокировал общественность очередной мега-уязвимостью в MODX Revolution. Далеко не первой, и есть такое ощущение, что не последней.

От масштабов возможной катастрофы у меня волосы дыбом из орбит вывалились, так что пришлось бросать все дела и срочно писать новый функционал на modhost.pro.

Первое — случайный префикс при создании нового сайта.


Второе — случайный префикс и при полной переустановке сайта.


И самое главное, третье — возможность в пару кликов сменить префикс уже работающего сайта.


Так что все пользователи modhost.pro могут за 5 минут обезопасить свои сайты (я, например, уже) и спокойно выдохнуть.
Василий Наумкин
05 ноября 2016, 15:43
modx.pro
2
4 062
+16

Комментарии: 21

Сергей Шлоков
05 ноября 2016, 18:48
+1
Ура!!!
А автообновление будет работать?
Fi1osof
05 ноября 2016, 19:03
+8
А вот я так и знал, что скажешь «блин, ну хотел же нормально отдохнуть, выходные же!».
    Владимир
    05 ноября 2016, 19:09
    +1
    Спасибо!
      Василий Наумкин
      05 ноября 2016, 19:12
      +7
      Николаю спасибо!
        Владимир
        05 ноября 2016, 19:15
        +1
        Николаю спасибо, а так же и тебе, за оперативное реагирование и удобное решение на хостинге!
      Constantine
      05 ноября 2016, 23:16
      0
      нет кнопок обновления паролей и префикса. поля не редактируются

      кэш обнулял, хром последний

        Василий Наумкин
        05 ноября 2016, 23:35
        +2
        Большую красную кнопку внизу не видно?
          Constantine
          06 ноября 2016, 04:59
          0
          да, действительно, я слепой :) спасибо
        nuraksha
        05 ноября 2016, 23:48
        +1
        Добрый вечер друзья!
        В modx.pro/users/ к некоторым пользователям нельзя перейти в профиль.
        Можете сами проверить…
          Fi1osof
          06 ноября 2016, 07:16
          0
          Воспринимает только числовые идентификаторы. Строчный видимо пытается привести к инту и не получает профиль, редиректит на юзеров.
            Василий Наумкин
            06 ноября 2016, 08:02
            0
            Исправил, спасибо.
              Илья
              06 ноября 2016, 15:40
              0
              Здравствуйте!
              А у меня почему-то не редактируется сохранённый черновик.
              Выкидывает на страницу пользователей.
                Василий Наумкин
                06 ноября 2016, 15:49
                0
                Не могу повторить.

                Что именно ты делаешь, опубликовываешь или сохраняешь?
                  Fi1osof
                  06 ноября 2016, 15:52
                  +1
                  Василий, сорри за рекламу, но поставь уже SwitchUser и проверяй от лица конкретного пользователя. modstore.pro пользуются же им.
                    Василий Наумкин
                    06 ноября 2016, 15:52
                    +1
                    Давно стоит, но я же в админке авторизован — так что не катит для 100% проверки.
                      Fi1osof
                      06 ноября 2016, 15:55
                      +1
                      У тебя разве пользовательские запросы выполняются в рамках контекста mgr? Не думаю. А при переключении, пользователь работает в текущем контексте без примеси админского пользователя, так что проверка должна чисто идти.
                    Илья
                    06 ноября 2016, 17:00
                    1
                    0
                    Сохранил и пытаюсь открыть переходя по ссылке «кстати, у вас есть 1 неопубликованный черновик» — выкидывает на стриницу со списком пользователей.
                    Василий Наумкин
                    06 ноября 2016, 16:12
                    +1
                    Ясно.

                    Не нужно указывать имя пользователя как число, а потом использовать его в качестве username вместо id в адресе своей страницы. У меня конечно много разных проверок, но до такого я не додумался.

                    Исправлено.
                      Илья
                      06 ноября 2016, 17:03
                      0
                      Да, извиняюсь, не видел этот пост — теперь всё работает.
                Алексей
                06 ноября 2016, 21:18
                0
                мега-уязвимостью в MODX Revolution. Далеко не первой, и есть такое ощущение, что не последней.
                Реально ли написать 100% универсальные правила NAXSI заточенные под MODX, чтобы не допустить такого вновь?
                к примеру для wordpress что то такое есть
                  Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
                  21