Безопасность

Можно ли украсть банковские карты клиентов с сайта на MODX?


На Хабре вчера появилась статья про то, как внедрив JS код на страницы сайта можно украсть данные пользователей (в том числе и банковские карты). Я пробежался по сайтам заказчиков, к которым на данный момент имею доступ и на 1 из 5 сайтов был обнаружен код сниффера ReactGet. Естественно, я удалил вредоносный код, о чём сообщил владельцу сайта.
В целях конфиденциальности, я не буду указывать адрес сайта, об этом меня попросил его владелец.

Да, хотя в статье нет ни слова о MODX, это не говорит о том, что он не подвержен заражению. К слову сказать, данный ИМ совсем недавно только обновили с версии 2.3 до 2.7, поэтому угроза заражения была достаточно велика.

Тем не менее, всем разработчикам предлагаю проверить свои сайты на подобную угрозу. Ну и пишите в комментах, удалось ли что-то обнаружить.
Павел Гвоздь
15 мая 2019, 10:32
454
+3

MODX setup/ Directory Site Exploit

Перевод статьи

В настоящее время существует эксплойт для сайтов в которых осталась директория setup. Это может дать любому в интернете полный доступ к вашему сайту и возможно к вашему серверу с тривиальной настройкой. Этот каталог никогда не должен оставаться после того, как вы установили систему.
Михаил
25 апреля 2019, 08:50
383
+4

AjaxSearch - Критическая уязвимость! (MODX EVO)


Настоятельно рекомендую проверить все сайты на MODX Evolution и Evolution CMS на которых используется AjaxSearch и обновить его!

В версии 1.11 и ниже есть критические уязвимости которые позволяют взломать злоумышленникам сайт.

Исправленную версию снипета AjaxSearch можно скачать тут:
github.com/extras-evolution/ajaxSearch/releases/tag/1.12.1 или установить через модуль Extras.
Евгений Борисов
27 октября 2018, 16:23
1
682
+8

Безопасность MODX, часть 2 - использование @ привязок

Это вторая часть доклада с конференции MODX Meetup Moscow. С первой частью про обход фильтрации MODX тегов можете ознакомиться тут.
Евгений Борисов
30 сентября 2018, 22:23
8
974
+26

Безопасность MODX, часть 1 - обход фильтрации MODX тегов

Это первая часть доклада с конференции MODX Meetup Moscow. Информацию решил разбить на 2 статьи посвященных разным векторам атак. Полная запись доклада доступна в ВК, а на ютубе запись моего экрана. Ну и естественно слайды.
Евгений Борисов
30 сентября 2018, 21:35
11
1 624
+30

Meet Fred - 700 часов разработки под микроскопом

Для тех, кто не в теме, Fred это визуальный редактор от MODX LLC (название компании, не путать с MODX CMS). На официальном сайте MODX есть даже новость про выпуск этого редактора (перевод)
Евгений Борисов
15 сентября 2018, 11:21
1 245
+18

История SQL-injection в MODX Revolution

История SQL-injection в MODX Revolution начинается с того, что любой багрепорт изначально воспринимается как «ожидаемое поведение».
Так было в декабре 2013 года с подготовкой запроса через метод toSQL
Евгений Борисов
12 сентября 2018, 12:23
7
1 208
+18

Лечение зараженных сайтов на modhost.pro

Привет, друзья!

Как многие уже заметили, в MODX недавно обнаружили критическую уязвимость. Заключается она в том, что одним простым запросом можно залить произвольный файл на сайт, и выполнить его. Это может быть шел, вредоносный скрипт, что угодно.

Простота атаки и беспечность владельцев сайтов привели к тому, что я уже неделю разгребаю последствия этой атаки на modhost.pro. Итак, что нужно делать, чтобы вылечить свои сайты?
Василий Наумкин
31 июля 2018, 09:57
17
5 313
+19

Revolution 2.6.4 and Prior Two Cricital Vulnerabilities

Не нашел здесь упоминания, тем временем позавчера появилась важная новость о найденных уязвимостях в версии 2.6.4 и необходимости скорейшего обновления

Вольный перевод, оригинал здесь.

Продукт: MODX Revolution
Уровень серьезности: критический
Версии: <= 2.6.4
Тип (ы) уязвимости: Удаленное выполнение / Удаление файлов / каталогов
Дата обнаружения: 11 июля 2018
Дата фиксации: 12 июля 2018
Антон Тарасов
14 июля 2018, 18:37
10
15 568
+15

MODX Revolution 2.5.6 SQL Injection

Если вы ещё не обновились до v2.5.7 — поторопитесь, в предыдущей версии присутствует критическая уязвимость, позволяющая провести SQL-инъекцию и получить доступ к аккаунту администратора через «resource/getNodes» и «system/contenttype/getlist» библиотеки xPDO.

Ниже полная выдержка пинтестера, обнаружившего уязвимость, с примером эксплуатации:
Ганин Роман
06 мая 2017, 20:21
1
3 172
+10