Изменение префиксов таблиц на modhost


Сегодня Николай Ланец шокировал общественность очередной мега-уязвимостью в MODX Revolution. Далеко не первой, и есть такое ощущение, что не последней.

От масштабов возможной катастрофы у меня волосы дыбом из орбит вывалились, так что пришлось бросать все дела и срочно писать новый функционал на modhost.pro.

Первое — случайный префикс при создании нового сайта.


Второе — случайный префикс и при полной переустановке сайта.


И самое главное, третье — возможность в пару кликов сменить префикс уже работающего сайта.


Так что все пользователи modhost.pro могут за 5 минут обезопасить свои сайты (я, например, уже) и спокойно выдохнуть.
05 ноября 2016, 18:43    Василий Наумкин   G+  
1    1357 +16

Комментарии (21)

  1. Сергей Шлоков 05 ноября 2016, 18:48 # +1
    Ура!!!
    А автообновление будет работать?
    1. Василий Наумкин 05 ноября 2016, 19:09 # +1
      Конечно.
    2. Николай Ланец 05 ноября 2016, 19:03 # +8
      А вот я так и знал, что скажешь «блин, ну хотел же нормально отдохнуть, выходные же!».
      1. Владимир 05 ноября 2016, 19:09 # +1
        Спасибо!
        1. Василий Наумкин 05 ноября 2016, 19:12 # +7
          Николаю спасибо!
          1. Владимир 05 ноября 2016, 19:15 # +1
            Николаю спасибо, а так же и тебе, за оперативное реагирование и удобное решение на хостинге!
        2. Constantine 05 ноября 2016, 23:16 # 0
          нет кнопок обновления паролей и префикса. поля не редактируются

          кэш обнулял, хром последний

          1. Василий Наумкин 05 ноября 2016, 23:35 # +2
            Большую красную кнопку внизу не видно?
            1. Constantine 06 ноября 2016, 04:59 # 0
              да, действительно, я слепой :) спасибо
          2. Нурбол Бокен 05 ноября 2016, 23:48 # +1
            Добрый вечер друзья!
            В modx.pro/users/ к некоторым пользователям нельзя перейти в профиль.
            Можете сами проверить…
            1. Николай Ланец 06 ноября 2016, 07:16 # 0
              Воспринимает только числовые идентификаторы. Строчный видимо пытается привести к инту и не получает профиль, редиректит на юзеров.
              1. Василий Наумкин 06 ноября 2016, 08:02 # 0
                Исправил, спасибо.
                1. Илья 06 ноября 2016, 15:40 # 0
                  Здравствуйте!
                  А у меня почему-то не редактируется сохранённый черновик.
                  Выкидывает на страницу пользователей.
                  1. Василий Наумкин 06 ноября 2016, 15:49 # 0
                    Не могу повторить.

                    Что именно ты делаешь, опубликовываешь или сохраняешь?
                    1. Николай Ланец 06 ноября 2016, 15:52 # +1
                      Василий, сорри за рекламу, но поставь уже SwitchUser и проверяй от лица конкретного пользователя. modstore.pro пользуются же им.
                      1. Василий Наумкин 06 ноября 2016, 15:52 # +1
                        Давно стоит, но я же в админке авторизован — так что не катит для 100% проверки.
                        1. Николай Ланец 06 ноября 2016, 15:55 # +1
                          У тебя разве пользовательские запросы выполняются в рамках контекста mgr? Не думаю. А при переключении, пользователь работает в текущем контексте без примеси админского пользователя, так что проверка должна чисто идти.
                      2. Илья 06 ноября 2016, 17:00 # 0
                        Сохранил и пытаюсь открыть переходя по ссылке «кстати, у вас есть 1 неопубликованный черновик» — выкидывает на стриницу со списком пользователей.
                      3. Василий Наумкин 06 ноября 2016, 16:12 # +1
                        Ясно.

                        Не нужно указывать имя пользователя как число, а потом использовать его в качестве username вместо id в адресе своей страницы. У меня конечно много разных проверок, но до такого я не додумался.

                        Исправлено.
                        1. Илья 06 ноября 2016, 17:03 # 0
                          Да, извиняюсь, не видел этот пост — теперь всё работает.
                  2. Алексей 06 ноября 2016, 21:18 # 0
                    мега-уязвимостью в MODX Revolution. Далеко не первой, и есть такое ощущение, что не последней.
                    Реально ли написать 100% универсальные правила NAXSI заточенные под MODX, чтобы не допустить такого вновь?
                    к примеру для wordpress что то такое есть
                    Вы должны авторизоваться, чтобы оставлять комментарии.