РУССКИЙ
Русский English Deutsch Українська Қазақша

Next Generation CMS :: Форум поддержки

Заинтересовала наша система? Тогда этот форум для Вас!

Вы не вошли.

Страницы 1

#1 2011-03-09 19:09:11

Newnrg
Участник
Откуда: Регион 13
Здесь с 2011-03-09
Сообщений: 8
Рейтинг :   
Сайт

Уязвимость в NGCMS

Доброго времени суток. Я тут новенький, простите если выбрал не тот раздел и громко назвал тему.

Вчера мне удалось получить доступ с правами администратора к двум сайтам на NGCMS. Это не столько уязвимость как маленькая недоработка разрабов.

Все дело в том, что имена файлов резервных копий BD слишком предсказуемы, и зная, что по умолчанию резервное копирование в CMS включено и работает с интервалом в 48 часом, то не сложно перебрать все комбинации имен файлов за двое суток и скачать дамп.

Данная "дырочка" имеет место быть на серверах под управлением веб-сервера Nginx. Так как для него инструкции в .htaccess не работают.

Надеюсь это сообщение станет кому-то полезным.

Рецепты первых блюд

Вне форума

#2 2011-03-09 20:03:16

legenda
Участник
Откуда: ua
Здесь с 2009-12-22
Сообщений: 2,151
Рейтинг :   39 

Re: Уязвимость в NGCMS

ну допустим ты скачал дамп а пароли?
этот топик с этим както связан hmm ?

Вне форума

#3 2011-03-09 20:15:32

Newnrg
Участник
Откуда: Регион 13
Здесь с 2011-03-09
Сообщений: 8
Рейтинг :   
Сайт

Re: Уязвимость в NGCMS

Нет, не связан.
Что касается паролей. Идем сюда - http://www.cmd5.ru/ вставляем хеш и получаем пароль (если такой там есть). Или же можно по словарю или перебором, если пароль несложный (а в большинстве случаев так и есть), то это не займет много времени.

Да и помимо паролей в дампе как минимум контент на блюдечке + mailы пользователей. В любом случае кому надо - применение найдет.

Рецепты первых блюд

Вне форума

#4 2011-03-09 20:22:46

easmik
VIP забанил этого пользователя.
Откуда: Анталья
Здесь с 2011-02-01
Сообщений: 1,016
Рейтинг :   37 
Сайт

Re: Уязвимость в NGCMS

Значит нужно выставить собственный интервал и пусть парятся :)

Все сайты, что могут быть сделаны на ng cms, должны быть сделаны на ng cms.

Расширив границы сознания, мы открываем новые горизонты жизни.

Вне форума

#5 2011-03-09 20:28:06

Newnrg
Участник
Откуда: Регион 13
Здесь с 2011-03-09
Сообщений: 8
Рейтинг :   
Сайт

Re: Уязвимость в NGCMS

Свой интервал сильно не поможет. Просканировать сайт на наличие дампа даже в месячном интервале - дело получаса. Нужна рандомная вставка в имя файла дампа.

Рецепты первых блюд

Вне форума

#6 2011-03-09 20:39:34

easmik
VIP забанил этого пользователя.
Откуда: Анталья
Здесь с 2011-02-01
Сообщений: 1,016
Рейтинг :   37 
Сайт

Re: Уязвимость в NGCMS

А если поставить защиту на саму папку?

Все сайты, что могут быть сделаны на ng cms, должны быть сделаны на ng cms.

Расширив границы сознания, мы открываем новые горизонты жизни.

Вне форума

#7 2011-03-09 20:46:30

Newnrg
Участник
Откуда: Регион 13
Здесь с 2011-03-09
Сообщений: 8
Рейтинг :   
Сайт

Re: Уязвимость в NGCMS

easmik, Для Индейца там есть защита, а для Nginx, чтобы "защитить" папку, нужно будет править конфиг Nginx'а, что сами понимаете - неудобно, да и не всегда реализуемо.

Рецепты первых блюд

Вне форума

#8 2011-03-09 23:01:26

Wolverine
Модератор
Откуда: Домодедово
Здесь с 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: Уязвимость в NGCMS

Это не недоработка разработчиков, а недостаточная квалификация администратора сервера. Я бы так сказал :)

Twitter

Вне форума

Страницы 1

Сейчас в этой теме пользователей: 0, гостей: 1
[Bot] ClaudeBot

Подвал форума

Под управлением FluxBB 1.5.11
Модифицировал Visman

[ Сгенерировано за 0.012 сек, 7 запросов выполнено - Использовано памяти: 538.87 Кбайт (Пик: 559.87 Кбайт) ]