Безопасность ModX



  • @Andchir сказал Безопасность ModX:

    @Agel_Nash

    Куда нам до него...

    У меня подозрение, что Николай специально хотел приберечь эту дырку для себя, побыть богом это же так приятно :)

    Не думаю, не в его стиле что-то приберегать. Мне кажется, он случайно наткнулся и сразу же в сообщесвтво, судя по постам он даже сам не понял что ящик пандоры нашел...



  • @Gulik сказал Безопасность ModX:

    @Agel_Nash Ясно, значит просто демонстрация. Я вас взломал! Чем докажешь? Вот вам префикс...
    Все же, кончено, смена префикса несколько замедлит процесс взлома. Ну очень на чуть-чуть))

    верно

    После его подбора можно так же идти в таблицу юзеров и подбирать их логин, а затем их пароль в виде хеша... А потом искать этот хеш на cmd5...

    Как хеш MODX Revo довольно трудно сбрутить. И cmd5 не поможет. Только если на заказ через фермы.

    Или все же эта дырка в ModX предусматривает возможность вносить изменения в базу? Запросы UPDATE или INSERT проходят?

    Все зависит от конкретного сайта.

    Давайте условимся на следующем. В MODX Revolution на текущий момент есть несколько дырок. Эксплуатация этих дырок усложняется рядом условий которые должен выполнить разрабочтик компонента.

    [Вырезано админом от любителей ломать сайты]

    P.S. После прочтения удалите мой комментарий. Чтобы на весь мир не светилось.



  • А вот и продолжение дыры с xPDO :https://modx.pro/security/10345-blind-sql-xpdo/

    и вполне логичный ответ разработчика - забота о безопасности - дело рук разработчиков. Т.е. прежде чем запихивать запросы в xPDO их нужно фильтровать

    Ну собственно сами виноваты - сначала долго кричали, что вместо сложных SQL проще писать через xPDO, которое еще и безопасно. Последнее оказалось неверно.



  • Почему же они тогда сами не фильтруют? Ведь по словам Евгения у них на modxcloud дыры эти есть



  • @timm Если правильно понял Евгения и opengeek, то эта дыра есть в компонентах написанных на xPDO в чистом MODx дыр нет.
    А в компонентах дыры потому, что разработчики были уверены, что xPDO фильтрует SQL, оказалось, что нет.



  • @timm Если правильно понял Евгения и opengeek, то эта дыра есть в компонентах написанных на xPDO в чистом MODx дыр нет.

    Есть. Но конкретно этой - нет.

    А в компонентах дыры потому, что разработчики были уверены, что xPDO фильтрует SQL, оказалось, что нет.

    Да.


  • Администраторы

    Да уж... тут явная недоработка в архитектуре ORM, видимо автор совсем не интересуется опытом других разработчиков. Давать такие широкие возможности через один метод - не очень красиво. Программисты, привыкшие к языкам со строгой типизацией, ужаснулись бы от увиденного.

    Хотя пихать в какой-то метод сырые данные, не убедившись в безопасности, это тоже не хорошо.
    В сниппете userOrders, например, сделано так:

    $order_id = !empty( $_REQUEST['ord_id'] ) && is_numeric( $_REQUEST['ord_id'] )
          ? $_REQUEST['ord_id']
          : 0;
    


  • А тем временем популярность MODX за 2 года упала на 25 пунктов.
    Alt text

    И эта динамика стабильна на протяжении уже последних 5 лет. Думающие люди на фоне новости про уязвимости должны понять, что нужно готовиться сваливать на другой двиг. Ну а у кого весь бизнес завязан только на modx - те и дальше будут продолжать жрать кактусы уверяя, что все нормально.



  • @Agel_Nash На то на других дырок нет


  • Администраторы

    @Agel_Nash :

    Думающие люди на фоне новости про уязвимости должны понять, что нужно готовиться сваливать на другой двиг.

    Да, начиналось всё вроде не плохо. Для меня лично первым сигналом стало отношение разработчиков к таким базовым компонентам как Quip. Там куча багов, но никто их не собирался исправлять. Можно, конечно, написать гору своих велосипедов, как делали другие разработчики, но тогда возникает вопрос, а нужен ли нам вообще MODX Revo?

    Можно создать тему типа "Куда валить" :) Кто за?


  • Администраторы

    @Gulik сказал Безопасность ModX:

    @Agel_Nash На то на других дырок нет

    Если бы только в дырках было дело...



  • @Gulik сказал Безопасность ModX:

    @Agel_Nash На то на других дырок нет

    Дело не в дырках, а в тренде. Он идет на спад и уже очень давно. Просто как правило, для того чтобы человек начал шевелиться - ему нужен пинок. И в данном случае, непонятки с безопасностью, - отличный повод диверсифиировать свои услуги еще каким-нибудь движком.



  • @Agel_Nash @Andchir Я на многих движках по работал, ни где не встречал такой гибкости в создании сайта как на ModX. Одни TV что стоят.
    Гибче ModX только на PHP.



  • @Andchir сказал Безопасность ModX:

    Можно создать тему типа "Куда валить" :) Кто за?

    Если бизнесу, то остаются коммерческие решения типа Битрикса.

    Если для себя, то можно на той же Октобер ЦМС пилить сайты.

    Тут больше вопрос - что делать с существующими сайтами?



  • @timm Битрикс гавно, как то связался с ним, сделал один сайт и долго матерился. Какой то ЧПУ у меня столько времени отнял


  • Администраторы

    @Agel_Nash сказал

    непонятки с безопасностью, - отличный повод диверсифиировать свои услуги еще каким-нибудь движком.

    А ещё это повод для сообщества MODX забыть былые обиды и объединить свои усилия на создание чего-то нового и качественного.

    @Gulik сказал:

    @Agel_Nash @Andchir Я на многих движках по работал, ни где не встречал такой гибкости в создании сайта как на ModX. Одни TV что стоят.
    Гибче ModX только на PHP.

    Попробуйте InstantCMS. Там тоже не плохо продумано добавление полей, но не через TV, а через реальное редактирование таблиц в БД, что дает хорошую производительность.



  • @Andchir сказал Безопасность ModX:

    @Agel_Nash

    непонятки с безопасностью, - отличный повод диверсифиировать свои услуги еще каким-нибудь движком.

    А ещё ещё это повод для сообщества MODX забыть былые обиды и объединить свои усилия на создание чего-то нового и качественного.

    Ну у меня с тобой терок не было))
    Подключайся к Laravel? У меня есть проектик, нужна помощь.



  • @Gulik говно/не говно - это с точки зрения разработчика и копания в движке. С точки зрения владельца студии — Битрикс очень хороший инструмент зарабатывания денег


  • Администраторы

    @Agel_Nash сказал:

    Ну у меня с тобой терок не было))
    Подключайся к Laravel? У меня есть проектик, нужна помощь.

    Laravel я пока не смотрел, есть не плохой опыт с Symfony. Я вот думал писать с нуля Шопкипер, но уже не завязываться жестко на CMS, а сделать более универсальным. Что за проектик?



  • @Andchir сказал Безопасность ModX:

    @Agel_Nash сказал:

    Ну у меня с тобой терок не было))
    Подключайся к Laravel? У меня есть проектик, нужна помощь.

    Laravel я пока не смотрел, есть не плохой опыт с Symfony. Я вот думал писать с нуля Шопкипер, но уже не завязываться жестко на CMS, а сделать более универсальным. Что за проектик?

    маякни на почту laravel@agel-nash.ru распишу подробнее



Последние темы

Похоже, подключение к Форум | MODX Shopkeeper было разорвано, подождите, пока мы пытаемся восстановить соединение.