0 Пользователей и 1 Гость просматривают эту тему.
  • 26 Ответов
  • 1259 Просмотров
*

Sergey2

  • Завсегдатай
  • 655
  • 14
В настройках стоит что название - обязательное поле. И когда я пытаюсь создать объявление - мне грят, мол, нужно ввести. При этом иногда пролазиет спам и создает обьявления без темы. Как ему это удается?
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
Запись в базу в обход скриптов.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

draff

  • Практически профи
  • 2774
  • 172
  • step by step
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

max_1985

  • Завсегдатай
  • 598
  • 55
В настройках стоит что название - обязательное поле. И когда я пытаюсь создать объявление - мне грят, мол, нужно ввести. При этом иногда пролазиет спам и создает обьявления без темы. Как ему это удается?
Поставьте чтоб объявления могли подавать только зарегистрированные пользователи + CAPTCHA
*

max_1985

  • Завсегдатай
  • 598
  • 55
уязвимость  AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html
В последней версии эта проблема решена.
*

Sergey2

  • Завсегдатай
  • 655
  • 14
Поставьте чтоб объявления могли подавать только зарегистрированные пользователи + CAPTCHA
CAPTCHA стоит, а незарегестрированных отсекать не хочется
*

Sergey2

  • Завсегдатай
  • 655
  • 14
уязвимость  AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html
У меня стоит версия 3.1.1. По крайней мере так пишет в управлении расширениями. В самом AdsManager пишут 3.1.0. Но вот это изменение у меня есть: http://www.joomprod.com/news/273-security-issue-file-upload-vulnerability-on-old-version.html
Кроме того установлен скрипт от SQL иньекций. Не панацея, конечно, но все же. Папка tmp у меня вынесена за пределы сайты. И папка pluload отсутсвует.
Прогнал сайт айболитом - нет ничего :(
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
Прогнал сайт айболитом - нет ничего :(
Айболит не панацея. Он видит залитые скрипты, а не баги. Да и скрипты не все... Недавно клиент прислал письмо - аномальный трафик, хостер предупредил. Полез смотреть. Joomla 3.4.4, Кunena 4.0.5, PhocaGallery не помню какая... Все, больше расширений никаких. Прогнал айболитом - ругнулся на файл с картинкой, глянул исходник - пусто. Зато в index.php кто то воткнул запакованный обсуфицированный код шелла. Вот как? Добавил правила в .htaccess, код удалили, но сам факт взлома настораживает...
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Sergey2

  • Завсегдатай
  • 655
  • 14
Я понимаю что не панацея. что баги он не видит. Кстати. Мне каждый раз приходит письмо о размещении обьявления. И про эти обьявления без темы тоже приходит. т.е. это не sql иньекция, а именно рзамещения обьявления.
Пойду в логах посмотрю, может найду че интересное.
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
т.е. это не sql иньекция, а именно рзамещения обьявления
Что бы писать в базу, не обязательно использовать иньект, можно использовать и штатные скрипты. Например, подделка данных формы, когда на сервер отправляется пакет, как будто он был отправлен из формы добавления сообщения. Или может быть даже этот пакет шлется в ту часть кода, где происходит запись в базу (сталкивался и с таким г...кодом).
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Sergey2

  • Завсегдатай
  • 655
  • 14
В логах все нормально. Похоже, действительно, проверка на обязательное поле идет только на форме. Если запрос руками формировать, то можно пустым оставить
*

draff

  • Практически профи
  • 2774
  • 172
  • step by step
А что в компоненте не проверяется Token ?
Есть в форме ?
Код
<?php echo JHTML::_( 'form.token' ); ?>
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

Sergey2

  • Завсегдатай
  • 655
  • 14
Я внутрь не лазил так глубоко. Раньше в Opera можно было подправить код страницы и тут же отобразить, а сейчас такую возможность убрали. Удобно было формы править :)
Токен, скорее всего, проверяется, как минимум CAPTCHA то работает. Но по логам там сначала открывается страницы добавления обьявления, то есть токен получается, а потом следует добавление объявления.
*

Sergey2

  • Завсегдатай
  • 655
  • 14
да, такая строка есть
*

Grendy

  • Давно я тут
  • 247
  • 25
Мне каждый раз приходит письмо о размещении обьявления. И про эти обьявления без темы тоже приходит.

Всё правильно. То, что вы видите при попытке отправить объявление с пустой «темой», — результат проверки формы посредством Javascript. Javascript исполняется на компьютере клиента. Если в настройках браузера Javascript отключен, «ругаться» на незаполненность поля браузер не будет. А если использовать для добавления объявлений какой-нибудь скриптик (на Python достаточно нескольких строчек кода), то и вовсе от проверок на Javascript толку никакого. Нужно проверять данные повторно на сервере, о чём разработчики видимо пока не додумались или предлагают это в платных версиях.

А что в компоненте не проверяется Token ?
Есть в форме ?
Код
<?php echo JHTML::_( 'form.token' ); ?>
Не спасёт. Достаточно сделать запрос формы, извлечь данные из скрытого поля и передавать их вместе с объявлением. Проверка будет успешно пройдена и объявление добавится.
Плюс в репутацию больше говорит о благодарности, чем слово "Спасибо" в теме, которую повторно, возможно, никогда уже не посетишь.
*

robert

  • Профи
  • 4078
  • 376
Нужно проверять данные повторно на сервере, о чём разработчики видимо пока не додумались или предлагают это в платных версиях.
Не спасёт. Достаточно сделать запрос формы, извлечь данные из скрытого поля и передавать их вместе с объявлением.
А по-вашему, что представляет собой
Код: php-brief
<?php echo JHTML::_( 'form.token' ); ?>
?
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

Grendy

  • Давно я тут
  • 247
  • 25
А по-вашему, что представляет собой
Код: php-brief
<?php echo JHTML::_( 'form.token' ); ?>
?
По-нашему, это генерация скрытого поля с именем, представляющем собой последовательность символов. Если вы откроете браузером исходный код страницы с формой, вы увидите, что упомянутый код добавляет в форму тег input с типом hidden с именем вида «7866b7bd160908b86c219664942aec1d». Ничего более он не делает.
Плюс в репутацию больше говорит о благодарности, чем слово "Спасибо" в теме, которую повторно, возможно, никогда уже не посетишь.
*

robert

  • Профи
  • 4078
  • 376
Ничего более он не делает.
Ошибаетесь. Вы не подумали, зачем это поле нужно?
« Последнее редактирование: 11.09.2015, 08:40:40 от robert »
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
robert, а смысл? Бот так же может сделать запрос страницы, извлечь из нее ключ (токен) и отправить его с остальными данными... Другое дело, если этот токен на странице был бы получен через JS, а не через форму. Но года три назад попадались материалы о том, что и JavaScript сейчас для бота не проблема.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

robert

  • Профи
  • 4078
  • 376
robert, а смысл?
Да, но я не об этом.
Просто хотел сказать: <?php echo JHTML::_( 'form.token' ); ?> как раз для того, чтобы
проверять данные повторно на сервере
Но, возможно, я неправильно понял Grendy.
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

Sergey2

  • Завсегдатай
  • 655
  • 14
А больше нет ни у кого такой проблемы? Или у всех стоит разрешение на добавление только зарегестрированным пользователям? А может кто капчу какую посоветует?
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
А может кто капчу какую посоветует?
Ну прикрутите Recapcha 2... Но почитайте первый пост. Если бы бот имел только систему OCR, то он бы не смог обойти дополнительное поле, которое является обязательным к заполнению. Однако он это поле обходит. Следовательно, это не OCR и никакая CAPTCHA вам в данном случае не поможет, и никакие токены. Сделайте эксперимент. Проанализируйте, какое количество спама поступает в сутки (если его не так много, то за неделю, за месяц), затем смените пароль к базе данных. Если количество спама резко сократится, то ...делайте выводы.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Sergey2

  • Завсегдатай
  • 655
  • 14
Ну прикрутите Recapcha 2...
так она и стоит.
Цитировать
Но почитайте первый пост. Если бы бот имел только систему OCR, то он бы не смог обойти дополнительное поле, которое является обязательным к заполнению. Однако он это поле обходит. Следовательно, это не OCR и никакая CAPTCHA вам в данном случае не поможет, и никакие токены. Сделайте эксперимент. Проанализируйте, какое количество спама поступает в сутки (если его не так много, то за неделю, за месяц), затем смените пароль к базе данных. Если количество спама резко сократится, то ...делайте выводы.
пароль поменял. будем смотреть. Но если бы там напрямую в базу писалось бы, разме мне приходило бы письмо, о том что обьявление добавлено? Да и в логах там все нормально, заходят на страницу, отправляют запрос....
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
Но если бы там напрямую в базу писалось бы, разме мне приходило бы письмо, о том что обьявление добавлено? Да и в логах там все нормально, заходят на страницу, отправляют запрос....
Если бот заточен именно под ваш сайт, то смоделировать эффект присутствия недолго. Возможно, бот заточен под какой то компонент и использует его уязвимость. В любом случае нужно изучать поведение, что называется, "под микроскопом". Навскидку гадать до бесконечности можно.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Sergey2

  • Завсегдатай
  • 655
  • 14
поставил keycaptcha, где надо во флеше пазл сложить мышкой. Так через сутки обьявления стали появляться по три штуки в минуту.
Ни у кого нет что ли таких проблем? Может кто авторам отпишет?
*

grinat

  • Давно я тут
  • 356
  • 32
Айболит не панацея. Он видит залитые скрипты, а не баги. Да и скрипты не все... Недавно клиент прислал письмо - аномальный трафик, хостер предупредил. Полез смотреть. Joomla 3.4.4, Кunena 4.0.5, PhocaGallery не помню какая... Все, больше расширений никаких. Прогнал айболитом - ругнулся на файл с картинкой, глянул исходник - пусто. Зато в index.php кто то воткнул запакованный обсуфицированный код шелла. Вот как? Добавил правила в .htaccess, код удалили, но сам факт взлома настораживает...
Айболит это бесполезная приблуда, насколько помню в него своего рода сигнатуры прописаны, детектор base64 например, в который так любят злоумышленники запаковывать свой код. Проще написать скрипт, который по особому запросу формирует бд в виде txt файла например, чтобы MySQL не грузить лишний раз, в ней хранятся имена файлов и их размер, далее этот скрипт по крону запускается например раз в 10 минут и проверяет все файлы, если видит что залит новый, то сразу удаляет, если размер изменился, то шлет отчет на почту. Проблем будет ноль. Поскольку эти уроды ломают сайты в автоматическом режиме, сканер проходит через 20 тыс сайтов, которые парсят с Google, и куда может пихает код, код ждет команды, как только она приходит, и идет спам, ddos или еще что-то, зависит от того какой заказ выполняет злоумышленник.
*

max_1985

  • Завсегдатай
  • 598
  • 55
Разобрался что создание нескольких объявлений это не вирус, а просто недоработка разработчиков.
Просто если при создании объявления несколько раз нажать на кнопку "Сохранить", создастся несколько объявлений. Это решается запретом на повторное нажатие кнопки.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Форма добавления объявления

Автор AvtoPobeda

Ответов: 1
Просмотров: 230
Последний ответ 31.07.2017, 17:16:01
от AvtoPobeda
Вывод "Классифицированные объявления" вместо меню на всех страницах

Автор d.im_a

Ответов: 3
Просмотров: 195
Последний ответ 01.07.2017, 15:33:16
от d.im_a
При изменении своего объявления пользователем, оно становиться неактивно(не опубликовано)

Автор efimov777

Ответов: 1
Просмотров: 181
Последний ответ 21.06.2017, 21:56:46
от efimov777
[Решено] Похожие объявления в AdsManager 2.9.13

Автор Ishti39

Ответов: 17
Просмотров: 3434
Последний ответ 06.06.2017, 22:08:18
от gremeru777
Сообщение "Message body empty" после публикации объявления

Автор Mick_20

Ответов: 0
Просмотров: 145
Последний ответ 30.05.2017, 08:30:29
от Mick_20