Заметка Уязвимость в плагине Enable Debug From Admin Home ?

X-Oleg

Местный
Сообщения
576
Симпатии
586
Баллы
93
#1
Всем привет !

Я тут решил потестить форум на уязвимости, ну и как обычно начил тыкать спец. символы на проверку их фильтрации, ну особо напрягаться нехотелось, решил по быстренькому...:D

И вот-что обнаружил, даже из-под обычного пользователя, например в профиле:
Код:
https://xenforotest.ru/members/'/
Получаем милую ошибку:
upload_2016-2-3_13-21-29.png

Такое-же и при реге... :(

На других форумах, просто:
upload_2016-2-3_13-22-26.png

Уж незнаю на сколько это опасно, но что-то ненравится мне это, поэтому хочется обсудить на сколько это опасно ?

Плагин как я понимаю, включает режим дебага у администраторов, а у обычных пользователей его отключает ?

Данный плагин здесь сейчас отключён...;)
 

Антоха

Местный
Сообщения
10
Симпатии
22
Баллы
3
#2
Всем привет !

Я тут решил потестить форум на уязвимости, ну и как обычно начил тыкать спец. символы на проверку их фильтрации, ну особо напрягаться нехотелось, решил по быстренькому...:D

И вот-что обнаружил, даже из-под обычного пользователя, например в профиле:
Код:
https://xenforotest.ru/members/'/
Получаем милую ошибку:
Посмотреть вложение 4830

Такое-же и при реге... :(

На других форумах, просто:
Посмотреть вложение 4831

Уж незнаю на сколько это опасно, но что-то ненравится мне это, поэтому хочется обсудить на сколько это опасно ?

Плагин как я понимаю, включает режим дебага у администраторов, а у обычных пользователей его отключает ?

Данный плагин здесь сейчас отключён...;)
Я думаю дело даже не в плагине,а в режиме дебага.Даже если просто включить его классическим
Код:
$config['debug'] = true;
То будет тоже самое.Режим отладки просто выводит ошибки которые в обычном состоянии не видно.
 

X-Oleg

Местный
Сообщения
576
Симпатии
586
Баллы
93
#3
То будет тоже самое.Режим отладки просто выводит ошибки которые в обычном состоянии не видно.
Может-быть, но всё-равно значит данный плагин неправильно отрабатывает, т.к. обычному пользователю незачем данную информацию наверное знать...Cool_man7890

Это хорошо, если ничего такого в этом нет, я пока не смог проэксплуатировать как-то !Biggrin_man32
 

ROOT

Пользователь
Сообщения
0
Симпатии
47
Баллы
13
#4
Достали паранойей своей :) давай все отключим, медиа, ресурсы, там тож можно найти че нить.
 

Антоха

Местный
Сообщения
10
Симпатии
22
Баллы
3
#5
Может-быть, но всё-равно значит данный плагин неправильно отрабатывает,
По-умолчанию он ведь не скрывает никакой отладочной информации.
Поэтому его допиливают с помощью условий.Чтобы дебажная инфа была видна только админу или определённому айпи.Хотя может уже и в плагине реализовали..хз.
p.s.А ещё вносят правки в файл .htaccess дабы по ссылкам вида

Пожалуйста, Войдите или Зарегистрируйтесь, что бы увидеть скрытый контент.

тоже ничего не отображалось.
 
Последнее редактирование:

irina_d

Проверенный
Сообщения
37
Симпатии
13
Баллы
3
#6
Достали паранойей своей :) давай все отключим, медиа, ресурсы, там тож можно найти че нить.
Полностью согласна. :)
Просто нужно обновлять движок форума. По мере выхода обновлений.
Ну и не ставить всякие малоизвестные дополнения.
А в популярных модулях обычно все "баги" быстро фиксятся самими авторами.
 

ROOT

Пользователь
Сообщения
0
Симпатии
47
Баллы
13
#7
Здесь было уже поправлено, отладочная информация была не видна пользователям, только админам.
В шаблоне footer:
Код:
<xen:if is="{$debugMode}">
Заменяется с помощью модификации для плагина на:
Код:
<xen:if is="{$debugMode} AND {$visitor.is_admin}">
Просто правка не на прямую сделана была :)
 

SOUL

АдминкА
Администратор
Сообщения
5.643
Симпатии
8.253
Баллы
226
#8
Достали паранойей своей :) давай все отключим, медиа, ресурсы, там тож можно найти че нить.
А я, если честно, уже готова на воду дуть, так как за всё время существования форума какеры реально достали, даже не пойму причин такого повышенного внимания. Отсюда и паранойя, если это так можно назвать, так что у всего есть свои причины, не на ровном же месте Girl_Crazy1.
 

ROOT

Пользователь
Сообщения
0
Симпатии
47
Баллы
13
#9
Но без включения дебаг мода, все равно не обойдешься, а конфиг править не очень удобно постоянно.
 

X-Oleg

Местный
Сообщения
576
Симпатии
586
Баллы
93
#10
Просто правка не на прямую сделана была :)
Сейчас включил, ошибки отображаются даже гостям... :(

Смотрите сами, я просто сказал, что данная инфа не желательна потенциальным хакерам...

Как вариант, можно попробовать расшарить пути, вызвав глобальную ошибку ! :(

Но без включения дебаг мода, все равно не обойдешься, а конфиг править не очень удобно постоянно.
Можно каждый раз включать/отключать плагин через админку например, он-же не нужен постоянно ?
 

Skaiman

[SVG]ADD-ONS ™
Администратор
Сообщения
5.376
Симпатии
5.903
Баллы
226
#12
Мне не видно ни чего
 

kil1970

Проверенный
Сообщения
57
Симпатии
12
Баллы
8
#15
а можно поподробней
у меня тоже он стоит
сдесь выключено
2015 (2).jpg
а сдесь включено
2015-1.jpg
нужно и сдесь выключить ?
 

ROOT

Пользователь
Сообщения
0
Симпатии
47
Баллы
13
#16
нет только там :) Пошла паника :)
 

kil1970

Проверенный
Сообщения
57
Симпатии
12
Баллы
8
#17
нет только там :) Пошла паника :)
нет паники нема :)
просто никогда не задумывался над этим , а плагин ставил чтобы каждый раз не лезть в файл
а вопрос еще сколько должно быть запросов к базе ? и какой минимум и максимум
 

X-Oleg

Местный
Сообщения
576
Симпатии
586
Баллы
93
#18
а вопрос еще сколько должно быть запросов к базе ? и какой минимум и максимум
Запросов у этого плагина, или вообще запросов в целом ?

Если в целом, то нет никаких минимум/максимум, может-быть 1000 "маленьких" запросов, или один который в итоге положит Вам сервер...:D:eek:

Как вариант смотрите время генерации страницы, если она больше 0.5 то это повод задуматься об оптимизации, также можно смотреть сколько процессов "ожидает" если у Вас VPS или выделенный сервер, например командой TOP в консоле...;)
 

kil1970

Проверенный
Сообщения
57
Симпатии
12
Баллы
8
#19
Запросов у этого плагина, или вообще запросов в целом ?

Если в целом, то нет никаких минимум/максимум, может-быть 1000 "маленьких" запросов, или один который в итоге положит Вам сервер...:D:eek:

Как вариант смотрите время генерации страницы, если она больше 0.5 то это повод задуматься об оптимизации, также можно смотреть сколько процессов "ожидает" если у Вас VPS или выделенный сервер, например командой TOP в консоле...;)
спасибо , посмотрел
вот такое у меня Время: 0.5033 сек Память:10,942 МБ Запросов к БД:55
т.е это в принципе нормально или стоит поддержку тревожить
 

X-Oleg

Местный
Сообщения
576
Симпатии
586
Баллы
93
#20
kil1970, запросов всё-же многовато !:eek:

Какой-то кривой плагин даёт нагрузку, у вас как-раз больше 0.5, при большой посещалке будут тормоза... :(