В WordPress-дополнении Ninja Forms, имеющем более миллиона активных установок, выявлена критическая уязвимость (CVE пока не присвоен), позволяющая постороннему посетителю получить полный контроль над сайтом. Проблема устранена в выпусках 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11. Отмечается, что уязвимость уже используется для совершения атак и для экстренного блокирования проблемы разработчики платформы WordPress инициировали принудительную автоматическую установку обновления на сайты пользователей...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57370
Кстати, довольно занятный вектор атаки — необязательно звать eval на входные данные, если можно десериализовать класс, в котором определена функция __wakeup()
Десериализация это и есть eval.
это только в шаблонизаторе Personal Home Page. В языках программирования (а шаблонизатор Personal Home Page таковым не является), десериализация - это десериализация, а не eval.
Как минимум в Python при десериализации из pickle проблемы те же.
В этом и проблема WP - без плагинов он вообще неюзабелен, а плагинов наделали 100500 штук все кому не лень и разумеется пару раз в год через плагины новый взлом сайтов на WP образуется.То ли дело наш, исконно русский, православный Битрикс. Полностью работоспособен прямо из коробки, никакие дополнения из Маркетплейса ненужны для нормальной работы. И никаких взломов сайтов не Битриксе в принципе не происходит !
Если ничего не дописывать, то может и хорош. Но потом заказчику надо тут дописать, там переписать и начинается если и не взломают то сам упадет)
> Если ничего не дописывать, то может и хорош. Но потом заказчику надо
> тут дописать, там переписать и начинается если и не взломают то
> сам упадет)Вы правы. Я и имел ввиду что для "новичков" Битрикс безопаснее чем WP.
Разумеется все доработки / переписки что на Битрикс что на WP если делает профессионал то и там и там не будет ничего падать, никто не взломает и т.д.
Есть фреймвёрки Yii и Laravel и что-то я не помню новостей об уязвимости в них.
В Laravel достаточно много уязвимостей было. Хотя бы про смену шифрования кук должны были слышать. И это не считая того, что каждый первый "крутой разработчик" отключает все возможные встроенные средства защиты, потому что ему "не удобно так". Так что во всех этих сайтах ошибок не меньше, чем в WP, если бы они были кому интересны.
А Yii ещё скачать надо умудриться. При том количестве зависимостей в нём, нарваться на таймауты плёвое дело. Видимо по этому на нём сайтов не так много.
Так это ж не CMS, где покликал и готово, там програмировать надо.
> исконно русский, православный БитриксТолько при его создании почему то не использовался ни один исконно русский язык программирования, ни один исконно русский компьютер и ни одна исконно русская операционная система.
Ну может взломов сайтов и не происходит, но как его делают источником DDoS атак - запросто.
Через всякие там redir.js и прочие "прэлести".
> Ну может взломов сайтов и не происходит, но как его делают источником
> DDoS атак - запросто.
> Через всякие там redir.js и прочие "прэлести".1. Есть такая тема про редиректы, только не js а php.
2. Решение есть и в самом Битрикс и требует 5 секунд: Настройки → Проактивная защита → Защита редиректов и они все отрубятся.
3. Вторым способом можно и в nginx запретить все перенаправления через rk.php, redirect.php и click.php кроме нужных ибо хорошие вещи через них полезны (отслеживание например переходов по рекламным компаниям).
> Вторым способом можно и в nginx запретить все перенаправления через rk.php, redirect.php и
> click.phpи конечно же любой покупатель коробочки за сколько там уже - 30тыр знает про все эти click.php и как их запретить.
(и, кстати, что за х-ня rk.php?)
rk.php - это rk значит "реклама" - фигня для учёта эффективности рекламных компаний (переходов и т.п.). В принципе вещь полезная, при грамотной настройке конечно.
о господи, вот как раз инструкций по настройке битрикса не хватало на опеннете.Битрикс это одно из самых уродских поделий, вне зависимости от того есть ли у него в админке защита редиректов или нет. И самое коварное в битриксе то, что он издалека выглядит нормальным продуктом с нормальными пользователями, что может стоить тем, кто решит с ним связаться большой доли нервных клеток.
Да, Битрикс прямо скажем не идеален, и косяков в нём хватает.Но как и с любым другим продуктом его надо уметь готовить. И сделать из него конфетку вполне реально, разумеется конфетку можно сделать и из любого другого продукта (например WP).
Вспомните старый андекдот:
"Ну ужас, но не УЖАС-УЖАС" (С)
:)
> То ли дело наш, исконно русский, православный Битрикс. Полностью работоспособен прямо из коробкиа поскольку цена коробки неподъемна для пион...нецветочков запрещенных на впопеннете - то и взлома можно не бояться.
> никакие дополнения из Маркетплейса ненужны для нормальной работы.
хеловрота - может и не нужны. А если нужен сайт а не "добро пожаловать в битрикс" - то либо мракет, либо сам кодируй (большинство покупателей коробочки не обучены).
> И никаких взломов сайтов не Битриксе в принципе не происходит !
эммм... как бы это помягче...
> цена коробки неподъемнаДолжен же хоть с какой-то стороны быть порог вхождения.
Там со всех сторон пороги.
Например, поиск гуглем любой проблемы скорее всего приведет тебя на форум, где под таким же описанием как твое - ответ традиционный: "напишите нам в закрытый канал связи с техподдержкой - мы вам все расскажем". Это даже не rhbm с документацией за пэйволом, это вообще полное анальное огораживание.P.S. а я вчера таки дернул рубильник. Ни сил, ни времени, ни желания уже нет ЭТО костылить.
Лучше иметь проблемы с Wordpress, чем Битрикс будет иметь вас.
Прямо сейчас юзаю xss битрикса. Админку взять не проблема.
Ну если Вы находите где-то идиотов которые отключают "Проактивную защиту" (в которой разумеется защита от xss есть) то это не значит что Битрикс не защищён из коробки.
Это скорее асего потому что этот битрикс используется только на 2х сайтах.Есть пример сайта где использунтся он ?
Самому не стыдно ?Намного больше сотни тысяч сайтов используют Битрикс.
Ваш высер про 2 сайта просто туп.
Пример сайта на Битрикс Вы хотите ? Да, пожалуйста - вот мой сайт.
Тонкий способ пропиарить свой сайт.
Мне пиар не нужен.Мой сайт никогда и никак не монетизируется - ни рекламы, ни продаж, ни услуг на сайте никогда не было и не будет.
Я люблю хрюш искренне и бескорыстно.
Дело не в пиаре.Не люблю эти штуки на пхп, но вордпресс фрии и его юзает весь мир. Вы что думаете битрикс кто нибудь юзает за пределами России ?
Обычно битрикс используют виндузятники.А нормальный пример будет ? То что Вы показали делается и на голом вордпрессе без плагинов.
1. Битрикс не работает на iis сервере2. А давайте Вы сами найдёте ?Благо тыкайте в любой интернет магазин в зоне .ru и через один будет Битрикс. Поощрять вашу дремучесть и лень нет никакого желания.
Супр к примеру https://www.cy-pr.com/
>То ли дело наш, исконно русский, православный БитриксБитрикс - гораздо хуже, чем Wordpress. Пусть этот Битрикс сначала наберет такую же популярность, как и Вордпресс, а потом посмотрим, как в этом решете будут находить баги и дыры побольше, чем в Вордпрессе.
Да-да, миллионы мух не могут ошибаться :)
Не ошибаются только любители свиней, пропагандируя ущербный Битрикс, чья рыночная доля менее 1 процента.
> Не ошибаются только любители свиней, пропагандируя ущербный Битрикс, чья рыночная доля
> менее 1 процента.Только люди с нетрадиционным интеллектом сравнивают количество установок бесплатного (WP) и платного (Битрикс) продуктов.
Именно. Этот мусор еще и платный. За что там платить? За гораздо более худшую в плане архитектуры и качества кодовой базы, чем WordPress, ЦМСку? Пусть это кушают любители хрюш. Нормальные люди выбирают наименьшее из зол - WordPress.
К сожалению ваш аргумент о нормальных людях полностью несостоятен ибо неадекват не способен объективно оценивать реальность.
Все верно. Вы и есть недекват, не способный объективно оценивать реальность. Жуйте свой Битрикс в своем хлеву молча, вместе со своими свиньями, свинопас. И не лезьте к адекватным людям со своими советами.
1. Хамство признак проигрыша в споре2. Вы доказали свою неадекватность тупо тем что сравниваете количество установок бесплатного и платного продукта
3. Продолжайте восстанавливать из бэкапа свой сайт на WP после очередного взлома :)
1. Хамить ты первый начал, шизик.
2. Битрикс, даже если был бы бесплатный - также не набрал бы и 1% установок.
3. Бэкапить необходимо любые данные на любой ЦМС.PS. Загуглил тебя по двум ключевым словам - bitrix и адрес твоего поросячьего сайта. Оказывается ты проплаченная ботяра из 1С, которая всюда рекламит ущербный Биткрикс во всех ветках и темах о Вордпрессе.
И сколько мне платят :))) ?Вы феерический ...
Ну да ладно, слив засчитан !
Господин свинопас, не пропускайте прием таблеток, который назначил вам ваш лечащий врач. Выздоравливайте!
Из свежего, CVE-2022-27228 - 9.8 полуляхов из 10
:)
WordPress: Ясно, понятно.
О, продолжение сериала про днище Wordpress и его плагины) Достаю попкорн.
> В WordPress ... выявлена критическая уязвимость"В решете нашли дыру", - вот что я прочитал.
Им нужно определиться, либо просеивать муку и сливать макароны, либо это.
>разработчики платформы WordPress инициировали принудительную автоматическую установку обновления на сайты пользователей.кек
Собственно чему удивляться, давным давно неплохим способом защитить свою CMS-очку было изменить в заголовках отдаваемое название на Wordpress и накидать в корень сайта фальшивых PHP файлов (с NOOP внутри) с названиями как у Вордпрессовских.
И все, кулхацкеры будут упорно долбиться в ваши заглушки даже не пытаясь понять что не так-то.
Долбят боты. Пройдитесь на досуге Acunetix по своему сайту, сильно удивитесь
Долбятся боты. Очень удобно написать ботов для Wordpress, а потом натравливать их на миллионы Wordpress сайтов, среди которых наверное большинство вовремя не обновляется. И ломаются они также автоматически. С точки зрения ботописателей Wordpress - это просто идеал решета, на котором можно заработать.
Когда-то была у меня оч хорошая по тем временам ЦМСка на базе PostNuke. Держалась долго и крепко под натисками ботов. Потом однажды не выдержал и поменял "made with PN" на что-то более нестандартное и - БАБАХ! - apache/error.log опустел. :) Да, боты. Ну, вот и прекрасно.
Но ничего, потом у нас в гарнизоне ИИ появился. Но вы там держитесь.
> Когда-то была у меня оч хорошая по тем временам ЦМСка на базе
> PostNuke. Держалась долго и крепко под натисками ботов. Потом однажды не
> выдержал и поменял "made with PN" на что-то более нестандартное и
> - БАБАХ! - apache/error.log опустел. :) Да, боты. Ну, вот и
> прекрасно.
> Но ничего, потом у нас в гарнизоне ИИ появился. Но вы там
> держитесь.По опыту еще один прекрасный метод - закрыть админку (если возможно) HTTP AUTH и половина атак уходит в молоко. А если при это сменить метод с BASIC на DIGEST (да еще поставить скажем SHA-256 или SHA-512), то эти боты отпадают сразу, многие даже не поддерживают такого.
не хочу вас расстраивать, но это не защита, а говно )Умные люди называют это security through obscurity, и они такой подход не одобряют.
> не хочу вас расстраивать, но это не защита, а говно )
> Умные люди называют это security through obscurity, и они такой подход не
> одобряют.А это и не полноценная защита, это один из способов сделать атакующему жизнь сложнее. Сама по себе не спасет, но в комплекте с другими методами - помогает.
Вариантов же куча, open_basedir в PHP, запрет на исполнение в tmp, закрытие ненужных директорий от доступа извне (впрочем сейчас CMSочки имеют заглушки для этого сразу в комплекте), само собой 2FA на админку и прочее и прочее.
> инициировали принудительную автоматическую установкуКонечно, конечно... во благо же.
Именно так, сэр.