1. Рады видеть Вас на XenforoTest!

    У нас Вы можете скачать:

    Перед регистрацией рекомендую ознакомиться

    с Условиями скачивания определённых плагинов и Правилами форума.

    Присоединяйтесь! Учите и обучайтесь!

    Скрыть объявление

Заметка Уязвимость в плагине Enable Debug From Admin Home ?

Тема в разделе "Информационная безопасность и информационные технологии", создана пользователем X-Oleg, 3 фев 2016.

03.02.16 в 11:25
04.02.16 в 16:27
22
549
2
  1. X-Oleg

    Местный

    Сообщения:
    571
    Симпатии:
    572
    Баллы:
    93
    Всем привет !

    Я тут решил потестить форум на уязвимости, ну и как обычно начил тыкать спец. символы на проверку их фильтрации, ну особо напрягаться нехотелось, решил по быстренькому...:D

    И вот-что обнаружил, даже из-под обычного пользователя, например в профиле:
    Код:
    https://xenforotest.ru/members/'/
    Получаем милую ошибку:
    upload_2016-2-3_13-21-29.png

    Такое-же и при реге... :(

    На других форумах, просто:
    upload_2016-2-3_13-22-26.png

    Уж незнаю на сколько это опасно, но что-то ненравится мне это, поэтому хочется обсудить на сколько это опасно ?

    Плагин как я понимаю, включает режим дебага у администраторов, а у обычных пользователей его отключает ?

    Данный плагин здесь сейчас отключён...;)
     
    • Нравится Нравится x 2
  2. Антоха

    Местный

    Сообщения:
    10
    Симпатии:
    22
    Баллы:
    3
    Я думаю дело даже не в плагине,а в режиме дебага.Даже если просто включить его классическим
    Код:
    $config['debug'] = true; 
    То будет тоже самое.Режим отладки просто выводит ошибки которые в обычном состоянии не видно.
     
    • Нравится Нравится x 2
  3. X-Oleg

    Местный

    Сообщения:
    571
    Симпатии:
    572
    Баллы:
    93
    Может-быть, но всё-равно значит данный плагин неправильно отрабатывает, т.к. обычному пользователю незачем данную информацию наверное знать...Cool_man7890

    Это хорошо, если ничего такого в этом нет, я пока не смог проэксплуатировать как-то !Biggrin_man32
     
    • Нравится Нравится x 1
  4. ROOT

    Проверенный

    Сообщения:
    1
    Симпатии:
    4
    Баллы:
    3
    Достали паранойей своей :) давай все отключим, медиа, ресурсы, там тож можно найти че нить.
     
    • Нравится Нравится x 2
  5. Антоха

    Местный

    Сообщения:
    10
    Симпатии:
    22
    Баллы:
    3
    По-умолчанию он ведь не скрывает никакой отладочной информации.
    Поэтому его допиливают с помощью условий.Чтобы дебажная инфа была видна только админу или определённому айпи.Хотя может уже и в плагине реализовали..хз.
    p.s.А ещё вносят правки в файл .htaccess дабы по ссылкам вида

    Вы не можете просматривать внешние ссылки, вам необходимо зарегистрироваться или войти

    тоже ничего не отображалось.
     
    • Нравится Нравится x 2
    #4 Антоха, 3 фев 2016
    Последнее редактирование: 3 фев 2016
  6. irina_d

    Проверенный

    Сообщения:
    37
    Симпатии:
    13
    Баллы:
    3
    Полностью согласна. :)
    Просто нужно обновлять движок форума. По мере выхода обновлений.
    Ну и не ставить всякие малоизвестные дополнения.
    А в популярных модулях обычно все "баги" быстро фиксятся самими авторами.
     
    • Нравится Нравится x 2
  7. SOUL

    SOUL АдминкА
    Администратор

    Сообщения:
    5.163
    Симпатии:
    5.773
    Баллы:
    226
    А я, если честно, уже готова на воду дуть, так как за всё время существования форума какеры реально достали, даже не пойму причин такого повышенного внимания. Отсюда и паранойя, если это так можно назвать, так что у всего есть свои причины, не на ровном же месте Girl_Crazy1.
     
  8. ROOT

    Проверенный

    Сообщения:
    1
    Симпатии:
    4
    Баллы:
    3
    Здесь было уже поправлено, отладочная информация была не видна пользователям, только админам.
    В шаблоне footer:
    Код:
    <xen:if is="{$debugMode}">
    Заменяется с помощью модификации для плагина на:
    Код:
    <xen:if is="{$debugMode} AND {$visitor.is_admin}">
    Просто правка не на прямую сделана была :)
     
    • Нравится Нравится x 1
  9. X-Oleg

    Местный

    Сообщения:
    571
    Симпатии:
    572
    Баллы:
    93
    Сейчас включил, ошибки отображаются даже гостям... :(

    Смотрите сами, я просто сказал, что данная инфа не желательна потенциальным хакерам...

    Как вариант, можно попробовать расшарить пути, вызвав глобальную ошибку ! :(

    Можно каждый раз включать/отключать плагин через админку например, он-же не нужен постоянно ?
     
  10. Skaiman

    Skaiman [SVG]ADD-ONS ™
    Администратор

    Сообщения:
    4.199
    Симпатии:
    4.118
    Баллы:
    226
    Мне не видно ни чего
     
  11. ROOT

    Проверенный

    Сообщения:
    1
    Симпатии:
    4
    Баллы:
    3
    Но без включения дебаг мода, все равно не обойдешься, а конфиг править не очень удобно постоянно.
     
    • Нравится Нравится x 1
  12. X-Oleg

    Местный

    Сообщения:
    571
    Симпатии:
    572
    Баллы:
    93
    А его кто-то отключил, или что-то меняли ?

    Даже мне не видно ничего...:D:eek:
     
  13. kil1970

    Проверенный

    Сообщения:
    57
    Симпатии:
    12
    Баллы:
    8
    а можно поподробней
    у меня тоже он стоит
    сдесь выключено
    2015 (2).jpg
    а сдесь включено
    2015-1.jpg
    нужно и сдесь выключить ?
     
  14. ROOT

    Проверенный

    Сообщения:
    1
    Симпатии:
    4
    Баллы:
    3
    Так так и надо делать, кто спорит то :)
     
  15. kil1970

    Проверенный

    Сообщения:
    57
    Симпатии:
    12
    Баллы:
    8
    нет паники нема :)
    просто никогда не задумывался над этим , а плагин ставил чтобы каждый раз не лезть в файл
    а вопрос еще сколько должно быть запросов к базе ? и какой минимум и максимум
     
  16. X-Oleg

    Местный

    Сообщения:
    571
    Симпатии:
    572
    Баллы:
    93
    Запросов у этого плагина, или вообще запросов в целом ?

    Если в целом, то нет никаких минимум/максимум, может-быть 1000 "маленьких" запросов, или один который в итоге положит Вам сервер...:D:eek:

    Как вариант смотрите время генерации страницы, если она больше 0.5 то это повод задуматься об оптимизации, также можно смотреть сколько процессов "ожидает" если у Вас VPS или выделенный сервер, например командой TOP в консоле...;)
     
    • Нравится Нравится x 1
  17. kil1970

    Проверенный

    Сообщения:
    57
    Симпатии:
    12
    Баллы:
    8
    спасибо , посмотрел
    вот такое у меня Время: 0.5033 сек Память:10,942 МБ Запросов к БД:55
    т.е это в принципе нормально или стоит поддержку тревожить
     
  18. ROOT

    Проверенный

    Сообщения:
    1
    Симпатии:
    4
    Баллы:
    3
    отключил :)
     
  19. X-Oleg

    Местный

    Сообщения:
    571
    Симпатии:
    572
    Баллы:
    93
    kil1970, запросов всё-же многовато !:eek:

    Какой-то кривой плагин даёт нагрузку, у вас как-раз больше 0.5, при большой посещалке будут тормоза... :(
     
  20. kil1970

    Проверенный

    Сообщения:
    57
    Симпатии:
    12
    Баллы:
    8
    хм , вот знать бы какой , и действительно иногда притормаживает
    спасибо
     
  21. ROOT

    Проверенный

    Сообщения:
    1
    Симпатии:
    4
    Баллы:
    3
    нет только там :) Пошла паника :)
     
  22. SOUL

    SOUL АдминкА
    Администратор

    Сообщения:
    5.163
    Симпатии:
    5.773
    Баллы:
    226
    kil1970, этот Плагин - All Rich Usernames случайно не установлен?
     
  23. kil1970

    Проверенный

    Сообщения:
    57
    Симпатии:
    12
    Баллы:
    8
    нет этого точно нету , буду пробовать отключать поочередно и смотреть какой портит картинку запросами к базе
    а то я експериментами и по незнанию наставил их теперь чешусь :(
    добавил в 15.45
    Пысы плагин xenplaza ticket system создает 35 запросов к базе, удалить наверное его все равно никто непользуется, ставил видно тоже на пробу :(
     
    • Нравится Нравится x 1
    #17 kil1970, 4 фев 2016
    Последнее редактирование: 4 фев 2016
Похожие темы
  1. SOUL
    Ответов:
    13
    Просмотров:
    1.902
  2. SOUL
    Ответов:
    16
    Просмотров:
    481
  3. SOUL
    Ответов:
    0
    Просмотров:
    80
  4. Lenchi
    Ответов:
    59
    Просмотров:
    1.562
  5. Claus
    Ответов:
    3
    Просмотров:
    166
Загрузка...
Rambler's Top100 Яндекс.Метрика INTERKASSA
XenforoTest.ru