По идее (по идее), в modConnectorResponse идёт проверка на авторизацию в админку и там вообще ничего снаружи не должно проходить.
Но я уже ни в чём не уверен.
Поверь, происходит. И в тикетс ты коннектор не поправил. Через него сюда и можно добраться, а там и в другие процессоры. В часть из них и без авторизации.
Качество у моих компонентов очень даже ОК. Что называется — найди лучше. И не смешивай безопасность и функциональность. Это совсем не одно и то же, ты должен это понимать.
Ввожу в заблуждение? Решения не дал? Дай его ты. Но нет, ты не дашь. Ты только сказал всем «сидите ровно на заднице, ничего не спасти, вы все равно будете сломаны все, даже префиксы не меняйте». ОК. Надеюсь общественность тебя услышала и продолжит сидеть ровно. Ты ппц помог.
Нет, Женя, получается по другому. Я прихожу, говорю что есть уязвимость в MODX, ты приходишь и начинаешь со всех сторон тыкать в дыры в моих компонентах. Выглядит так, как «нефиг вообще за безопасность ничего говорить». Ок, не скажу, и что, лучше будет? Так хоть немного призадумались о безопасности.
За найденную у меня уязвимость я спасибо тебе сказал. Поправлю.
И не я тут главнокомандующий. Не я же налево и направо все ломаю и рассказываю персонально у кого что как плохо сделано.
Ты бы еще показал, где этот процессор вызывается. В modLivestreet не было коннекторов. Проверка на безопасность сбрасывалась для того, чтобы пользователь мог зарегистрироваться (быть созданным) без прав на создание пользователей (правда не хорошо давать всем права на это). При этом в этот процессор передавались определенные параметры, а не все подряд из запроса, включая проверку групп.
И этот пакет уже 4 года как не поддерживается, нашел чем тыкать.
ОК, я знаю, что ломать ты умеешь. Ты можешь не согласиться, но не дофига делов ходить и ломать всех, потом носом тыкать. Если бы я захотел переквалифицироваться в эту область, давно бы уже сделал это и вышел на нормальный уровень. Нашел уязвимости: ОК, красавчег. Но тон надо поправить или вообще молчать. А то выглядит как спор вояки и архитектора «У меня вон гаубица какая, щас херакну и нет твоего здания. А значит ты строить не умеешь, а я крутой».
ОК, может ты и прав. В импортере нашел лазейку, где будучи авторизованным пользователем, можно залить произвольный файл в директиву импортера. Только чтобы этот файл выполнить, надо воспользоваться другой дырой MODX-а, которая позволяет выполнять процессоры за пределами директории процессоров указанного компонента, так как core папка должна быть закрыта для обращений извне. Хотя сурс тоже можно переопределить, и если простым пользователям сурс доступен, то будет плохо. Да, схема хоть и запутанная, но возможная. Буду прокачивать. Спасибо.
Сдается мне, что ты пытаешься за зря очернить компонент. У него нет процессоров ни на работу с файловой системой, ни на сохранение объектов. И если там и есть проблемы с безопасностью, то они так же проходят через дыры самого MODX-а. С тем же самым успехом ты можешь идти любой MODX-компонент называть дырявым (что в большинстве случаев будет соответствовать действительности).
По этому под MODX еще не пишут ботов всяких и тд и тп
Так и есть. Задумываюсь написать… Точнее написать сервис для автоматической проверки MODX-сайтов на уязвимости…
Как и говорилось выше в комментариях ребятами, скрыть, что это MODX — уже замечательно. Вот займемся написанием проверок.
Мне клиент передал вордпресс-сайт на поддержку, просто вместе с остальными сайтами. Через пару недель весь сайт как вшивая собака, благо в «клетке» был. Но вордпресс по прежнему №1 по популярности в мире.
Правильные компоненты пляшут от системных настроек assets_url, connectors_url и т.п. Правите системные настройки и все, все нормальные компоненты должны сменить УРЛы формируемые.
Ладно, поверю тебе на слово, что так возможно подобрать. Но все равно, это уже труднее (хотя бы потому что я не смог этим воспользоваться, наверяка это и другим добавит сложностей).
Я не нашел возможности этим воспользоваться. То есть если бы была возможность увидеть данную информацию, то конечно же было бы проще. Загнать в переменную название полученной таблицы то же можно, но нельзя выполнить запрос типа select * from @table;
Перебор хеша пароля из 3 символов: 3^10 = 59049 комбинаций
Не 3 в десятой, а 10 в третьей. Условно 1000.
3 в десятой — это если бы у тебя был набор из трех символов, и длина строки 10 символов. Проще это смотреть в двоичной системе исчисления. У нас есть только два символа — 0 и 1. Количество вариантов для строки из 4 символов в двоичной системе — это два в четвертой степени = 16. В той же системе 8 символов — 2^8 = 256.
Если возьмем 16-тиричную систему (то есть набор из 16 символов), то для строки в 8 символов мы получим 4294967296 вариаций. Все RGB цвета зашифрованы всего в три 16-тиричные пары.
А в строке sdfWE234s_wefSDf_ 17 символов. Набор символов — a-zA-Z0-9_, то есть 63 символа. Итого это будет 63^17 вариаций. Знаешь сколько это? 3879621350651476389602631582783
Не много ли для перебора? Даже локально попробуй себе набрать произвольную строку в 17 символов и перебрать в цикле все вариации.
Удивил ты меня с 1071 запросом…
Ввожу в заблуждение? Решения не дал? Дай его ты. Но нет, ты не дашь. Ты только сказал всем «сидите ровно на заднице, ничего не спасти, вы все равно будете сломаны все, даже префиксы не меняйте». ОК. Надеюсь общественность тебя услышала и продолжит сидеть ровно. Ты ппц помог.
За найденную у меня уязвимость я спасибо тебе сказал. Поправлю.
И не я тут главнокомандующий. Не я же налево и направо все ломаю и рассказываю персонально у кого что как плохо сделано.
Ты бы еще показал, где этот процессор вызывается. В modLivestreet не было коннекторов. Проверка на безопасность сбрасывалась для того, чтобы пользователь мог зарегистрироваться (быть созданным) без прав на создание пользователей (правда не хорошо давать всем права на это). При этом в этот процессор передавались определенные параметры, а не все подряд из запроса, включая проверку групп.
И этот пакет уже 4 года как не поддерживается, нашел чем тыкать.
ОК, я знаю, что ломать ты умеешь. Ты можешь не согласиться, но не дофига делов ходить и ломать всех, потом носом тыкать. Если бы я захотел переквалифицироваться в эту область, давно бы уже сделал это и вышел на нормальный уровень. Нашел уязвимости: ОК, красавчег. Но тон надо поправить или вообще молчать. А то выглядит как спор вояки и архитектора «У меня вон гаубица какая, щас херакну и нет твоего здания. А значит ты строить не умеешь, а я крутой».
Много в каких компонентах можно найти дыры. Достаточно их поискать.
Но для меня это не повод.
Как и говорилось выше в комментариях ребятами, скрыть, что это MODX — уже замечательно. Вот займемся написанием проверок.
Не 3 в десятой, а 10 в третьей. Условно 1000.
3 в десятой — это если бы у тебя был набор из трех символов, и длина строки 10 символов. Проще это смотреть в двоичной системе исчисления. У нас есть только два символа — 0 и 1. Количество вариантов для строки из 4 символов в двоичной системе — это два в четвертой степени = 16. В той же системе 8 символов — 2^8 = 256.
Если возьмем 16-тиричную систему (то есть набор из 16 символов), то для строки в 8 символов мы получим 4294967296 вариаций. Все RGB цвета зашифрованы всего в три 16-тиричные пары.
А в строке sdfWE234s_wefSDf_ 17 символов. Набор символов — a-zA-Z0-9_, то есть 63 символа. Итого это будет 63^17 вариаций. Знаешь сколько это? 3879621350651476389602631582783
Не много ли для перебора? Даже локально попробуй себе набрать произвольную строку в 17 символов и перебрать в цикле все вариации.
Удивил ты меня с 1071 запросом…