Уязвимости webasyst

[R0id]

в 300 версии кто-то нашел дырявые места?

В Moa античата уже давно лежат сплоиты......

 

[fr34k]

Что за МОА?))) Где это подскажи, ни разу не встречал

 

[Mensch]

я надеюсь

интересует как закрыть основные дыры в магазине =) подскажите знающие люди, где, что и как отредактировать, добавить или удалить =)

я надеюсь на вашу помощь.

стоит на 281, 300 и 279 магазины.

 

[alica]

Ну магические кавычки (magic_quotes_runtime) должны быть отключены, по видео как раз через включенные и ломают.

 

[Deluxo]

А в 300 версии magic_quotes_runtime тоже надо отключать?
Есть еще уязвимости\сплойты для 300 версии?

 

[alica]

А в 300 версии magic_quotes_runtime тоже надо отключать?
Есть еще уязвимости\сплойты для 300 версии?

Да тоже надо

 

[NhGXkv85PR]

В обмене ссылками в последнее время появляются "проверенные" ссылки. Причем дата проверки обычно бывает на них старая - 2009-2010 год. Никаких других необычностей при работе магазина нет. Вообще ссылок очень много добавляется, видимо автоматами, и капча не помогает практически. Но вот то что кто то научился присваивать статус проверенных - совсем печально.
Версия 289
Как бороться? Не похоже чтоб пароли от админки или доступ к базе украден был - думаю тогда более масштабно нагадили бы в магазине.

 

[saracen_d]

В обмене ссылками в последнее время появляются "проверенные" ссылки. Причем дата проверки обычно бывает на них старая - 2009-2010 год. Никаких других необычностей при работе магазина нет. Вообще ссылок очень много добавляется, видимо автоматами, и капча не помогает практически. Но вот то что кто то научился присваивать статус проверенных - совсем печально.
Версия 289
Как бороться? Не похоже чтоб пароли от админки или доступ к базе украден был - думаю тогда более масштабно нагадили бы в магазине.

Так заблокируй вообще обмен ссылками, пара способов обсуждалась на форуме разраба, мягкий и жесткий, после которого и сам при желании добавить ссылку не сможешь. У меня была та же проблема после регистрации в одном каталоге, не успевал вычищать, хватило мягкого способа, теперь все нормально.

 

[Mensch]

а на сколько уязвим инсталлер и вообще админка? для брута например =)
можно ли поставить капчу или рекапчу? или ещё что-то? чтобы защититься от брута =)

 

[NhGXkv85PR]

Так заблокируй вообще обмен ссылками, пара способов обсуждалась на форуме разраба, мягкий и жесткий, после которого и сам при желании добавить ссылку не сможешь. У меня была та же проблема после регистрации в одном каталоге, не успевал вычищать, хватило мягкого способа, теперь все нормально.

Спасибо, пока так и сделал, добавил строки в .htaccess по одной из рекомендаций разработчиков
RewriteEngine On

RewriteCond %{REQUEST_METHOD} !get [NC]
RewriteCond %{REQUEST_URI} linkexchange [OR]
RewriteCond %{QUERY_STRING} ukey=linkexchange
RewriteRule ^(.*linkexchange.*)$ http://%{HTTP_HOST}/$1 [R=302,L,QSA]

При этом возможность добавления ссылок через админку осталась. Ну и остался ли вопрос - закрыта ли в действительности теперь возможность для добавления каким то способом уже активированных ссылок? Ведь явно их то добавляли не через стандартную страницу обмена.