Мануал по созданию нулла OKay CMS и Simpla CMS

[DoctorWhoAreYou]

короче я понял как палят движок- проще пареной репы...
есть сервисы, где по коду html можно легко найти окэй.
только что проверил, ищется на ура..

правда пока знаю только один такой сервис и он показывает бесплатно только первые 5 сайтов.. но кто мешает найти другой или им написать парсер и заплатить деньги- на выходе профит..
пример сайт- сами проверьте

я думаю надо просто в шаблоне css сильно сильно переделать, тогда запарятся искать.. так- все нулли под прицелом((

 

[djslider]

короче я понял как палят движок- проще пареной репы...
есть сервисы, где по коду html можно легко найти окэй.
только что проверил, ищется на ура..

правда пока знаю только один такой сервис и он показывает бесплатно только первые 5 сайтов.. но кто мешает найти другой или им написать парсер и заплатить деньги- на выходе профит..
пример сайт- сами проверьте


я думаю надо просто в шаблоне css сильно сильно переделать, тогда запарятся искать.. так- все нулли под прицелом((

вот неплохой сервис который показывает какая cms установлена. Но не всегда на 100% точный.

 

[spl33n]

проверяем, тестируем

 

[djslider]

Ребята, подскажите, Okay все еще палят nulled версию? Писали, что через 3-5 месяцев пишут хостеру.

Смотря какой нулл, как сделан и кем. Палят отлично когда с нуля устанавливаешь и приходит ответ от сервера с тестовым серийником на 30 дней.

 

[DoctorWhoAreYou]

вот неплохой сервис который показывает какая cms установлена. Но не всегда на 100% точный.

да толку то от этого, ведь сначала надо чтобы на движок изначально вышли.. а выйти чтобы на него, нужна индексация и т.д. вот тогда по признакам и найдут прекрасно

 

[djslider]

да толку то от этого, ведь сначала надо чтобы на движок изначально вышли.. а выйти чтобы на него, нужна индексация и т.д. вот тогда по признакам и найдут прекрасно

вы хотите сказать, что сидят специально обученные люди и сканируют глобальную сеть, выискивая сайты на этом движке по коду

Ничего искать не надо, при установке пробных дистрибутивов (30 дней триала) или плохих "нулёнок", срабатывают стучалки, а потом вам тупо трезвонит менеджер по указанным телефонам или почте на вашем сайте, если связи нет, стучит провайдеру.

 

[DoctorWhoAreYou]

 

[7entol]

Добрый день форумчане.
Сегодня ради интереса прогнал последнию версию движка 2.1.5 через айболит и наткнулся на такую вещь:

Уязвимости в скриптах (1)
source/okaycms/lib/PHPMailer/class.phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031

Почитал статьи на Хабе, как понял, злоумышленик может отправлять почтовые сообщения через разные поля обратной связи и тому подобное.
Подскажите, можно ли как то себя обезопасить?
Или это не такая уж и критичная ситуация и есть какая то дополнительная проверка в скрипте на валидацию поля Email ?
ЗЫ: Может вообще зря голову забиваю по этому поводу?

Okay дали ответ:

Добрый день.
Спасибо за сообщение, в новой версии исправим это.
Для устранения это проблемы самостоятельно можете обновить PHPMailer до последней версии

 

[djslider]

Добрый день форумчане.
Сегодня ради интереса прогнал последнию версию движка 2.1.5 через айболит и наткнулся на такую вещь:

Уязвимости в скриптах (1)
source/okaycms/lib/PHPMailer/class.phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031

Почитал статьи на Хабе, как понял, злоумышленик может отправлять почтовые сообщения через разные поля обратной связи и тому подобное.
Подскажите, можно ли как то себя обезопасить?
Или это не такая уж и критичная ситуация и есть какая то дополнительная проверка в скрипте на валидацию поля Email ?
ЗЫ: Может вообще зря голову забиваю по этому поводу?

Okay дали ответ:

Добрый день.
Спасибо за сообщение, в новой версии исправим это.
Для устранения это проблемы самостоятельно можете обновить PHPMailer до последней версии

Если у вас почта (ящик для обратной связи) на маил ру или яндексе, например, то встроенный антиспам контроль сразу покажет что пошёл поток спама, пометит письма как нежелательные. А вот если данную брешь можно использовать, рассылая письма всем кому хочешь с вашего сайта, надо самим закрыть как можно быстрее быстрее, чем ждать обновления. В старых версиях движка, без капчи в обратной связи, спам шёл мама не горюй, потом закрыли.

 

[v1rus74]

Почитал статьи на Хабе, как понял, злоумышленик может отправлять почтовые сообщения через разные поля обратной связи и тому подобное.
Подскажите, можно ли как то себя обезопасить?
Или это не такая уж и критичная ситуация и есть какая то дополнительная проверка в скрипте на валидацию поля Email ?
ЗЫ: Может вообще зря голову забиваю по этому поводу?

Если у вас почта (ящик для обратной связи) на маил ру или яндексе, например, то встроенный антиспам контроль сразу покажет что пошёл поток спама, пометит письма как нежелательные. А вот если данную брешь можно использовать, рассылая письма всем кому хочешь с вашего сайта, надо самим закрыть как можно быстрее быстрее, чем ждать обновления. В старых версиях движка, без капчи в обратной связи, спам шёл мама не горюй, потом закрыли.

Вы оба не поняли суть уязвимости. Злоумышленник может определённым образом сформировать строку символов и вставить её в поле "Ваш e-mail" в контакт-форме или вообще в любом месте сайта (в ЛК, например), где используется адрес почты пользователя. Далее, только в том случае, если движок не чекает своими силами адрес на валидность, при активации отправки почты пользователю (заполнена контакт-форма, оформлена покупка, ...) будет создан файл с таким именем и в том каталоге, которые выбрал злоумышленник при формировании строки символов. Например, /var/www/site.com/evil.php. Содержимое файла абсолютно любое, какое захочет и подготовит атакующий. Есть только 2 ограничения: каталог должен быть доступен на запись веб-серверу и полный путь к каталогу должен быть заранее известен. Оба эти ограничения обойти несложно. Если операция прошла успешно, то затем атакующий просто вызывает в браузере site.com/evil.php и выполняет свой код с правами веб-сервера)