Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Сайт уязвим


Frenzo

Recommended Posts

Всем доброго дня.

Столкнулся с такой проблемой. Установил двиг и купил шаблон вот этот (*) 

Все бы ничего, как нанял человека, просто ради интереса проверить на уязвимость сайт. И оказалось, что сайт уязвим! Я перед эти специально сменил пароль от акк админки. Сменил пароль БД на подобее такого (G&*G7gYGty) ну как бы фиг подберешь. А он быстро очень хакнул. Кто подскажет, как обезопасить теперь сайт? Или только нанимать специалиста?

 

Надіслати
Поділитися на інших сайтах


8 минут назад, Frenzo сказал:

А он быстро очень хакнул. Кто подскажет, как обезопасить теперь сайт?

так пусть огласит уязвимости

Надіслати
Поділитися на інших сайтах

какую версию движка ставил? права на папки менял с изначально установленных 755 или 777?

Змінено користувачем h3adhunt3r
Надіслати
Поділитися на інших сайтах


Версия движка OpenCart Версия 2.1.0.1

 

Цитаты из переписки:

Цитата

Это ошибки в коде.

Т.е через код, вы получаете доступ к админку?

Путём ввода кода SQL я получаю доступ к базе данных.

Если я сменю в бд пароль и поставлю там 20 значный?

Это не поможет.

Пароль не подбирается !

По сути доступ даёт ваш же сайт.

То есть уже введённый вами пароль мне даёт доступ для дальнейших изменений.

Чтобы получить доступ к панели администратора мне не обязательно знать ваши пароли.

 

 

Надіслати
Поділитися на інших сайтах


Версия движка OpenCart Версия 2.1.0.1

https://github.com/opencart/opencart/commit/303fa88fe664ded4bf8753b997abd916f0a3c03f

https://github.com/opencart/opencart/issues/3721

https://www.netsparker.com/web-applications-advisories/cve-2015-4671-xss-vulnerability-identified-in-opencart/

если ето то надо просто поменять на 2.1.0.2 - или пофиксит файли

https://github.com/opencart/opencart/commit/33642ba18dc2645396dd35a0434964d7721d5eb3

если уязвимост другая не надо ее публиковать здесь.

Quote

Use the contact form on OpenCart: http://www.opencart.com/index.php?route=support/contact

https://support.opencart.com/hc/en-us

 

Надіслати
Поділитися на інших сайтах

  • 4 weeks later...

Возможно, есть лазейка.

Пример лазейки: 

Авторизация ssh по ключу. Смена пароля не поможет. Нужно удалять содержимое файла ~/.ssh/authorized_keys

Это одна из версий как можно оставить лазейку на сервер.

Другой вариант, на сайте был оставлен phpshell или другой эксплойт.

Готов помочь в усилении безопасности сайта. Подробности пишите в личку.

 

Змінено користувачем unixweb
Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.