Перейти к содержимому


Фото
- - - - -

Серьёзная уязвимость


  • Чтобы отвечать, сперва войдите на форум
31 ответов в теме

#21 a13x

a13x
  • Забаненый
  • 213 сообщений
  • Дизайн, Программирование, Верстка, SEO, Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 23.01.2018 - 10:20

Без доступа к админке этот файл под защитой http авторизации.

А вот если авторизовался то почти полный карт-бланш

Кто вам это сказал? Покажите мне в файле строчку где показано что там авторизация сработает? Либо прописана какая то переменная от авторизации и условие на её проверку.



#22 Maksclub

Maksclub

    Помогаю с Симплой и c PHP

  • Фрилансер
  • 1 378 сообщений
  • Дизайн, Программирование, Верстка, Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 23.01.2018 - 11:40

Кто вам это сказал? Покажите мне в файле строчку где показано что там авторизация сработает? Либо прописана какая то переменная от авторизации и условие на её проверку.

 

вы серьезно? весь каталог /simpla/  под авторизацией



#23 a13x

a13x
  • Забаненый
  • 213 сообщений
  • Дизайн, Программирование, Верстка, SEO, Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 23.01.2018 - 15:05

Да, видимо это на нгинксе у меня надо править конфиг, в апаче требуется авторизация.



#24 yr4ik

yr4ik
  • Фрилансер
  • 859 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:1.x, 2.x
  • Откуда:Украина Чернигов

Опубликовано 23.01.2018 - 17:12

Кто вам это сказал? Покажите мне в файле строчку где показано что там авторизация сработает? Либо прописана какая то переменная от авторизации и условие на её проверку.

проверьте подхватывается ли .htaccess с папки симпла. Иначе у вас полигон для всех проверок уязвимостей


Изменено: yr4ik, 23.01.2018 - 17:13


#25 a13x

a13x
  • Забаненый
  • 213 сообщений
  • Дизайн, Программирование, Верстка, SEO, Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 23.01.2018 - 17:16

проверьте подхватывается ли .htaccess с папки симпла. Иначе у вас полигон для всех проверок уязвимостей

Нет, не подхватывается. Я на нгиксе сижу  :rolleyes:  + авторизацию переписал давно на сессионную + не использую дефолтные визивиг редакторы



#26 Maksclub

Maksclub

    Помогаю с Симплой и c PHP

  • Фрилансер
  • 1 378 сообщений
  • Дизайн, Программирование, Верстка, Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 23.01.2018 - 21:42

Да, видимо это на нгинксе у меня надо править конфиг, в апаче требуется авторизация.

 

У меня обычно по аналогии сделаноююю

 

 

location ^~ /simpla/ {
                      auth_basic "Administrator Login";
                     auth_basic_user_file <_путь_до_сайта_>/simpla/.passwd;
 

Изменено: Maksclub, 23.01.2018 - 21:42


#27 a13x

a13x
  • Забаненый
  • 213 сообщений
  • Дизайн, Программирование, Верстка, SEO, Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 24.01.2018 - 00:08

У меня обычно по аналогии сделаноююю

 

 

location ^~ /simpla/ {
                      auth_basic "Administrator Login";
                     auth_basic_user_file <_путь_до_сайта_>/simpla/.passwd;
 

Спасибо, у меня вот так было прописано

location /simpla/ {

...

}

Теперь работает. Правда это всё равно на тестовом домене, но зато узнал в чём косяк был :rolleyes:


Изменено: a13x, 24.01.2018 - 00:12


#28 Tamara

Tamara
  • Пользователь
  • 36 сообщений
  • Пользователь
  • Откуда:Dushanbe

Опубликовано 05.04.2018 - 16:36

Как закрыть данную уязвимость?
2 страницы мыла специалистов, не дают решения.
Можно ее через .htpasswd закрыть?



#29 Maksclub

Maksclub

    Помогаю с Симплой и c PHP

  • Фрилансер
  • 1 378 сообщений
  • Дизайн, Программирование, Верстка, Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 05.04.2018 - 17:17

Как закрыть данную уязвимость?
2 страницы мыла специалистов, не дают решения.
Можно ее через .htpasswd закрыть?

 

так она и так закрыта через .htpasswd

она открыта именно для всех, кто имеет доступ в админку



#30 Tamara

Tamara
  • Пользователь
  • 36 сообщений
  • Пользователь
  • Откуда:Dushanbe

Опубликовано 09.04.2018 - 02:17

так она и так закрыта через .htpasswd

она открыта именно для всех, кто имеет доступ в админку

она закрыта .htpasswd от админки, а если в саму ее положить другой .htpasswd это спасет положение?

т.е. перед загрузкой, чего либо в папку будет просить пороль, так оно будет работать?



#31 Maksclub

Maksclub

    Помогаю с Симплой и c PHP

  • Фрилансер
  • 1 378 сообщений
  • Дизайн, Программирование, Верстка, Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Москва

Опубликовано 09.04.2018 - 10:32

она закрыта .htpasswd от админки, а если в саму ее положить другой .htpasswd это спасет положение?

т.е. перед загрузкой, чего либо в папку будет просить пороль, так оно будет работать?

 

опишите проблему, которую вы решить хотите



#32 Tamara

Tamara
  • Пользователь
  • 36 сообщений
  • Пользователь
  • Откуда:Dushanbe

Опубликовано 20.04.2018 - 00:42

опишите проблему, которую вы решить хотите

проблема, не добросовестные сотрудники имеют возможность испортить сайт через загрузку файлов






0 пользователей читают эту тему

0 пользователей, 0 гостей, 0 скрытых