Устраняем критическую уязвимость в целом наборе модулей популярного автора.

[Yoda]

15 минут назад, chukcha сказал:

Это не обязательно иметь его, и не потому что не покупал, а потому что опосредованно вы его обслуживаете..

Да, пусть будет, вы открыты, но вы уверены, что вы точно также можете проЕ... свой домен/сервер?
 

От того что мы что-то пролюбим. Ничего не изменится. Потому что нет дистанционной проверки.  Также я сейчас в личку скину. Ещё кое какие фиксы. Будете собирать окмод. Не лишним будет.

[tomm2001]

5 часов назад, auditor сказал:

порядочные пользователи - автоматом обновят патч, а владельцу сайта скажите, что бы покупал модули

Автоматом ? Это как ? У него разве автоматом версии обновляются ? Я купил модуль на сайте автора, если что.

 

1 час назад, chukcha сказал:

вы не пришли к автору и не сказали ему - смотри...

Я пришёл к автору. И спросил - опасность есть, или нет ? Мой пост просто удалили по просьбе автора.

[anboza]

16 часов назад, Yoda сказал:

или любому человеку, получившему доступ к его серверу выполнить XSS атаку

я может спрошу глупость, но если человек получил доступ такого уровня к самому серверу, то какой особый смысл в выполнении чего-либо конкретного? Тогда, вроде как, уже "что хочу, то ворочу"...?

[Yoda]

1 минуту назад, anboza сказал:

я может спрошу глупость, но если человек получил доступ такого уровня к самому серверу, то какой особый смысл в выполнении чего-либо конкретного? Тогда, вроде как, уже "что хочу, то ворочу"...?

Не совсем Так. Смотрите. В идеале. Модули не должны стучаться никуда.  В данном случае модуль мало того что стучится, он ещё забирает данные, которые будучи скомпрометированы, могут создать угрозу для тысяч и тысяч магазинов.

[anboza]

9 минут назад, Yoda сказал:

которые будучи скомпрометированы,

будет ли целесообразным такой уровень взлома, чтобы даже если отсниферить мой сеанс связи с сервером, получить данные, а потом начинать пытаться пробивать блокировку доступа по IP к адмике....Проще соседний WP (**** что-то сделать) мне кажется...Но это уже другое. 

[Yoda]

Если у вас админка закрыта по айпи этот взлом не грозит. Но мало ли что ещё можно придумать.

[florapraktik]

3 часа назад, anboza сказал:

я может спрошу глупость, но если человек получил доступ такого уровня к самому серверу, то какой особый смысл в выполнении чего-либо конкретного? Тогда, вроде как, уже "что хочу, то ворочу"...?

Сервер не магазина, а сервер автора ПО. Если зловред получит доступ к серверу проверки лицензий, то он получит доступ к админке всех 10 000 магазинов на других серверах, где стоит лицензионное ПО с проверкой лицензии. Точно так, автор ПО потенциально  имеет доступ ко всем магазинам, где установлено его ПО.

Похоже на то, что подобные вещи распространены гораздо шире, чем принято думать в среде наивных юзеров . В принципе, это вопрос репутации и чести разработчика с одной стороны и вопрос его же выгоды с другой. А вообще говоря, любой, кому вы давали доступы для адаптации модуля с темой (например) мог оставить себе "запасной вход".

Надо как то научиться жить с этим 

[Yoda]

13 минут назад, florapraktik сказал:

Сервер не магазина, а сервер автора ПО. Если зловред получит доступ к серверу проверки лицензий, то он получит доступ к админке всех 10 000 магазинов на других серверах, где стоит лицензионное ПО с проверкой лицензии. Точно так, автор ПО потенциально  имеет доступ ко всем магазинам, где установлено его ПО.

Похоже на то, что подобные вещи распространены гораздо шире, чем принято думать в среде наивных юзеров . В принципе, это вопрос репутации и чести разработчика с одной стороны и вопрос его же выгоды с другой. А вообще говоря, любой, кому вы давали доступы для адаптации модуля с темой (например) мог оставить себе "запасной вход".

Надо как то научиться жить с этим 

Это только первая ласточка, которая попала в мои сети, есть ещё. Но озвучивать всё а рамках правил форума сложно. Так что ждите.

 

Ну а как жить. Жить просто. Не использовать, требовать манибек. Аналогов полно.

 

А что касается чести разработчика. Я приведу его же цитаты чуть позже про аналогичную ситуацию от другого героя.

[anboza]

41 минуту назад, florapraktik сказал:

он получит доступ к админке всех 10 000 магазинов на других серверах

еще раз об идентификации по IP....

41 минуту назад, florapraktik сказал:

чем принято думать в среде наивных юзеров .

давайте вспомним про винду и гугл, сколько всякой такой инфы, они отправляют "на сервер"..

 

[anboza]

30 минут назад, Yoda сказал:

Это только первая ласточка,

предлагаю пари. я настраиваю сервер с дефолтной темой, с модулем "одного очень известного автора", а вы взломаете ее. маркеры взлома, определим. Ставка $100. "на пацана". Чтобы прекратить дискуссию, "может - не может", "потенциалы и т.д." .

Я - не заинтересованное лицо, просто пользователь модуля, да и не очень "мега-хакер"

[Yoda]

1 минуту назад, anboza сказал:

предлагаю пари. я настраиваю сервер с дефолтной темой, с модулем "одного очень известного автора", а вы взломаете ее. маркеры взлома, определим. Ставка $100. "на пацана". Чтобы прекратить дискуссию, "может - не может", "потенциалы и т.д." .

Я - не заинтересованное лицо, просто пользователь модуля, да и не очень "мега-хакер"

Вы наверное несколько не уловили суть темы. Вопрос не в том что я взломаю. А в том что вы автору дали доступ ко всем вашим данным, сами об этом не догадываясь.

 

Так что ваше пари это слышал звон не знаю где он.

[vtkach]

19 hours ago, chukcha said:

Держите

Рекомендую сделать это в код

 

securiyyFix.ocmod.xml

Спасибо.

[markimax]

Высосано из пальца, на почве конкуренции и неприязни
Отвечу почему. Комментировать особо нечего, нету так называемой угрозы.
Итак. Все безопасно. Почему? Рассмотрим этот "гипотетический вопрос".
Начнем с цитаты

Цитата

или любому человеку, получившему доступ к его серверу

Вдумайтесь на секунду...ЛЮБОМУ ЧЕЛОВЕКУ получившему доступ к его серверу. Это ж надо так придумать (чаще проще Форт-Нокс взять, чем сервер взломать).
Зачем ему ("любому человеку") уже тогда заниматься столькими телодвижениями с системой управления лицензиями, когда есть пути легче. Ведь в день он может гипотетически (а кто ему даст еще, это быстро пресекается) словить ~5... всего то 5 магазинов (почему 5 - описано ниже) А может другим путем гораздо больше и проще ...

Это как? Т е для начала сервер надо взломать, опустим детали защиты.
Поехали дальше искать так называемые "уязвимости"
Гипотетически (так же как здесь все это рассматривается гипотетически, а никакой практической угрозы нет, разве что "угроза" доверия, о чем ниже я скажу)
Сервер одной сборки популярного автора, opencart.pro
https://forum.opencart.pro/applications/core/interface/file/attachment.php?id=3838
Что отдается? Архив сборки
Не забываем цитату

Цитата

или любому человеку, получившему доступ к его серверу

Т е ЛЮБОЙ ЧЕЛОВЕК (в дальнейшем сокращенно гипотетический - "я") уже с полным доступом т к взломал сервер "гипотетически"
Если "я" получаю полный доступ над сервером, "я" в этот архив вставляю шелл (думаю что это объяснять не надо никому и уж тем более его публиковать как Йода), как к примеру было сделано когда то со сборкой форума (ссылки кто то приводил выше)
Его (архив с шеллом) качают пользователи, устанавливают (не знаю сколько установок сборки форума opencart.pro, наверно больше чем с opencartadmin) на свой сервер с щеллом, "я" захожу на этот шелл (зная где "я" его замаскировал и каково его имя) и получаю полный доступ к серверу пользователя скачавшего архив сборки opencart.pro. Всё. Профит.
Мне создавать тему и писать чтобы в hosts прописывали все 0.0.0.0 opencart.pro, потому что сборка уязвима после цитаты

Цитата

или любому человеку, получившему доступ к его серверу

Да... и что там прячется под ioncube в сборке - никто не узнает, потому как на аудит можно одно дать, а засунуть у себя на сервере другое и никто не сломает потому как последний куб не ломается (байт коды разглядывать?).
Т е все только на доверии автору. Так это же "уязвимость" как оказалось! Т е давать разработчикам доступы нельзя, это "уязвимость"

Насчет связи с 10000 магазинов, это бред полный.
Невозможно технически сразу всем отдать "скрипт" (т к запрос идет с сервера пользователя), это видно из кода (который ты Yoda знаешь ~5 лет (который я же тебе и показал) и у тебя не было претензий, но вот в последние время на фоне конкуренции ты решил раскачать лодку в которой мы ВСЕ здесь плывем)
А чего ты не начал с кода SEO HTTPS FIX PRO - ты же там типа соавтор (был), но как здесь меня разбили в пух и прах разработчики "какой может быть ... за str_replace". Если ты типа соавтор (с ответственностью замечу) - там почти тот же код проверки лицензии. Т е ты за него тоже отвечаешь. Ладно отошли от темы
Человек который гипотетически "взломал" мой сервер может максимум отдать код только тем кто включит установку или обновление. Ну 5 магазинов в день +-
Всё. ~5-м только, отдаст "любой человек" (как оказалось уже далеко не любой) который взломал, код. Это еще "Форт-Нокс" надо взломать не забываем. Т е 10000 просто пустословие.
Как вы думаете долго ли я не увижу взлом, если каждый день работаю с этими данными и смотрю сколько ставят и по какой лицензии и не нарушают ли её.
Я тут же увижу сбой в работе системы лицензирования.
Т е количество скачавших сборку будет больше, чем количество установок моих модулей
И кто раньше заметит замаскированный шелл в 100500 файлах сборки или проблему и сбои в работе сервера лицензирования
А учитывая что доступы к opencart.pro имеют много людей, то факт угрозы opencart.pro превышает факт угрозы взлома opencartadmin с закрытыми IP
Я промолчу про ioncube, это скользкая тема (затрагивающая многих здесь)
Я сторонник не нарушать лицензию GNU GPL (в отличии от нарушающих лицензию кодированием ioncube), весь код открытый, каждый может увидеть.
Если вам не нравится код, вы можете обсудить этот вопрос со мной (замечу ты не обратился ко мне!) или модераторами площадки (которые попросили заэкранировать, чтобы не было разных инсинуаций, что и было сделано, т е вопрос закрыт так и не начавшись)
Все безопасно, также как безопасность пользователей сборки. Идеальной системы не бывает конечно, от этого никто не застрахован, я это показал на гипотетическом примере opencart.pro
Это больше вопрос доверия к автору, любому из нас

Собственно высосано из пальца по большому счету, если бы еще не одно но...
Вы нарушили правила форума - призыв и руководство по обходу системы защиты лицензий модуля конкурента.
Это не удивительно после ваших призывов к качанию модулей многих уважаемых здесь разработчиков на варезе
И не надо прикрываться - "я не призывал, это в целях обучения"
Читайте лицензию - она есть в описании модуля

Цитата

Запрещается публикация, распространение модуля без согласия автора в любых целях, будь то ознакомительных или любых других.

Вы не только правила форума нарушили, но как минимум административную ответственность несете, а если доказать, что это на фоне злого умысла по конкуренции и извлечению из этого выгоды - уголовная ответственность

Вывод - целенаправленные атака по дискредитации модулей
Почему - убрать конкурентов.
Видно у .pro версии с его блогом и кешировщиком (только из-за них видно и покупают сборку), дела с продажами неважны и лучше убрать, дискредитировать, продаваемые модули конкурентов. Т е все как обычно банально просто - оказалось замешены деньги...

Больше ответов не будет - не о чем вести дискуссию (и слушать оправдания тоже нет никакого желания) на фоне неприязненности Йоды ко многим здесь на форуме и ко мне в том числе.
Опустим почему, это наше личное дело, я уважаю личное пространство любого человека, даже который так относится к другим

 

[florapraktik]

11 часов назад, anboza сказал:

еще раз об идентификации по IP....

Ну, речь не лично про Вас. Не у всех есть идентификация по IP.

 

Цитата

давайте вспомним про винду и гугл, сколько всякой такой инфы, они отправляют "на сервер"..

Я, как один из наивных юзеров не вспоминаю, ни про винду, ни про каспера, ни про 1С . 

Сторожа, вот тоже имеют ключи от склада, кассир имеет доступ к кассе, бухгалтер доступ к расчётному счёту...

Вы правы - вопрос шире.

 

[Nameless]

15 минут назад, markimax сказал:

гипотетически (а кто ему даст еще, это быстро пресекается) словить ~5... всего то 5 магазинов (почему 5 - описано ниже) А может другим путем гораздо больше и проще ...

 

вот у меня есть пяток как раз конкурентов на опенкарте и вроде у всех стоит блог, я бы базы выкупил или подломил если бы мог

[markimax]

2 минуты назад, florapraktik сказал:

Сторожа, вот тоже имеют ключи от склада, кассир имеет доступ к кассе, бухгалтер доступ к расчётному счёту...

Вы правы - вопрос шире.

Здесь вопрос скорее к доверию любого здесь из нас. А так называемые уязвимости "высосаны из пальца", причем с нарушением. ТС нарушил закон с руководством по обходу системы лицензирования модулей конкурента - т е  фактически призыв к взлому

[rassigor]

1 час назад, markimax сказал:

Здесь вопрос скорее к доверию любого здесь из нас. А так называемые уязвимости "высосаны из пальца", причем с нарушением. ТС нарушил закон с руководством по обходу системы лицензирования модулей конкурента - т е  фактически призыв к взлому

Доверие не доверие, вы уже поправили эту уязвимость?

[markimax]

6 минут назад, rassigor сказал:

Доверие не доверие, вы уже поправили

Внимательнее - ответ есть в моем ответе, модераторы попросили заэкранировать чтобы не было инсинуаций, заэкранировано (причем до открытия этой .. "темы") . Это не уязвимость, это вопрос доверия Все безопасно

[Yoda]

Дабы не превращать тему в срач резюмирую:

1. До администрации форума доведено и явно смоделирована уязвимость в действии - дальнейшие действия администрации на их совести

2. Автор явно признал существование уязвимости, фактом того, что начал латать эту дыру и вносить фикс в свои поделки

3. Я обстоятельно заявляю, что цель создания данной темы и исследования данной уязвимости, является исключительно информирования участников форума о том, что некий Марк, автор модуля, или любой кто имеет доступ к его серверу, может получить доступ к вашим данным. Просто донесения данного факта. 

4. Попытки перевести стрелки, рассказывать жалобные басни, о том что бедную курочку обижают, рассказки про сборку PRO репутацию, со стороны выглядит как попытка отвести глаза от собственных подлых действий и сменить акценты. Глупо и мерзко. Но что еще можно ожидать от человека, который подложил всем личный бекдорчик и умолчал об этом?

5. Ну и вопрос ко всем, на каком основании, люди которые покупают модуль должны доверять непонятному постороннему человеку, который не несет никакой ответственности? 

 

Также, немножко поймаем автора на двуличии и лжи:

Все мы помним тему про уязвимость addist

Там по факту был такой же бекдор, только доступный не только автору модуля, но и всем:

Напомню вам некоторые цитаты автора:

То есть из фронта нельзя а из админки можно? Да еще и с неэкранированным выводом правда? 
Кошечка моя сладенькая...

 

А вот автор советует что делать с подобными дополнениями:

И еще один совет:

Черт черт черт... как же так неловко вышло то?

[vasilev86]

вы задрали со своими войнами, есть проблема или нет? сносить или нет? 

[markimax]

Йода твои лживые  отмазки не засчитаны (чего только стоит бред пункта 2 - рассмешил ) И не сравнивай с addist и его eval(this->request-> post[command]) где любой мог получить БЕЗ взлома сервера данные и выполнить код). Никак не относится к вопросу доверия
Еще раз подловил тебя на лжи Ты просто брехун мелкий. Мальчик иди не мешай дядям работать. Начитался хабры - иди отдыхай
Ты просто лживый тролль, который решил убрать конкурента
Тебя просто надо привлечь к ответственности за призывы к взлому, получению из этого выгоды и недобросовестной конкуренции
Дальше развлекайся и лжи всем. Своим последователям секты "продажника инструментов" можешь рассказывать сколько угодно сказки, ты не написал ни одного модуля и украл чужие идеи (есть доказательства) Думаю всем они будут интересны здесь. Особенно твоим оппонентам
До встречи в суде
Администрация прошу официально выдать данные некого лживого  логина Йода для подачи искового заявления в суд 
Это официально
В этот раз не получится.
Ты не забывай что у меня тоже есть юристы (не забывай что это холдинг)  - они уже составили заявление (я не просто "молчал").
Осталось только дело за третьей стороной форумом
Кто ты гюльчитай? Открой личико я все равно узнаю. 

[Yoda]

В 23.12.2018 в 23:47, markimax сказал:

Йода твои лживые  отмазки не засчитаны (чего только стоит бред пункта 2 - рассмешил ) И не сравнивай с addist и его eval(this->request-> post[command]) где любой мог получить БЕЗ взлома сервера данные и выполнить код). Никак не относится к вопросу доверия
Еще раз подловил тебя на лжи Ты просто брехун мелкий. Мальчик иди не мешай дядям работать. Начитался хабры - иди отдыхай
Ты просто лживый тролль, который решил убрать конкурента
Тебя просто надо привлечь к ответственности за призывы к взлому, получению из этого выгоды и недобросовестной конкуренции
Дальше развлекайся и лжи всем. Своим последователям секты "продажника инструментов" можешь рассказывать сколько угодно сказки, ты не написал ни одного модуля и украл чужие идеи (есть доказательства) Думаю всем они будут интересны здесь. Особенно твоим оппонентам
До встречи в суде
Администрация прошу официально выдать данные некого лживого  логина Йода для подачи искового заявления в суд 
Это официально
В этот раз не получится.
Ты не забывай что у меня тоже есть юристы (не забывай что это холдинг)  - они уже составили заявление (я не просто "молчал").
Осталось только дело за третьей стороной форумом
Кто ты гюльчитай? Открой личико я все равно узнаю.

 

Ну все. Боюсь!

Это гениальная Хуцпа. Марк положил бекдор в модули. Марка поймали за руку. Марк побежал исправлять модуль а теперь распушил перья и пугает юристами.

Я сам предоставлю свои данные - если мне хоть кто-то покажет мою цитату где я призывал взламывать и получать от этого выгоду, либо каким то образом как это "занимался недобросовестной конкуренцией".

 

Это что получается. Каждый кто решил положить закладочку в модуль, чтобы получить доступ к данным  пользователя, будет в случае, если его поймали на горячем угрожать судом.
Ну круто че. Облико морале! 
 

Давай  в том же духе. 

 

[dinox]

Я закрываю тему, с конструктива все перешло как всегда в оскорбления. Тема будет очищена от личных оскорблений и флуда
Возможная при определенных условиях уязвимость(отсутствие экранирования запросов уведомлений) в модуле была, то что она могла сработать только при доступе к серверу разработчика все понимают. Автор модуля по запросу модераторов начал экранирование запросов в  дополнении и выложит новую версию. Дальнейшее обсуждение в том ключе которое пошло в теме не приведет к конструктивному результату...