Fi1osof 04 ноября 2016 45 36
Сразу жути наведу: все очень плохо. Имея доступ в админку даже с самыми-самыми минимальными правами, можно поднять права пользователя до sudo довольно просто. Понятно дело, что если знать как (или если я, к примеру, выложу здесь JS-скрипт, который гарантировано сработает сейчас на любом MODX Revo сайте). Скажу только, что общий механизм работает через SQL-инъекции. И вот здесь момент: чтобы воспользоваться этим, надо знать префикс таблиц в MODX. Сейчас, к сожалению, эта информация доступна для чтения в самом браузере (находясь в админке). Если оперативно примут пулл-реквест, то обновив MODX, уже можно будет себя несколько обезопасить. Но не получится совсем обезопасить. Если у вас будет базовый префикс modx_ или какой-то простой типа prfx_, то методом перебора можно будет довольно быстро выполнить атаку (здесь всего примерно 30^4, то есть 810 000. По 10 запросов в секунду за 22 часа можно перебрать все возможные варианты). По этой причине советую сложные префиксы давать типа My_PrfX234_. Здесь уже и маленькие, и большие буквы, и цифры, а это уже 70^10 или 2824752490000000000 вариаций. Вот это уже просто времени не хватит подбирать. Если злоумышленник не будет знать префикса таблиц, SQL-инъекцию ему будет практически нереально выполнить.
proxyfabio 16 сентября 2016 7 8
Давеча пришел клиент со следующей жалобой: «Пользователи ставят расширение Советник.Яндекс и уходят на сайты конкурентов, следуя за более низкой ценой».

TL;DR:
* Настройте CSP-заголовки
* Настроили? Ужесточите политики.

bezumkin 23 октября 2015 0 5
Привет, коллеги. Заметил тут у вас дыру в авторизации.

Подумал-подумал и убрал подробности. Мало ли что, лучше отправлю их Николаю на мыло. Черновиков здесь нет, так что топик остаётся висеть.
Fi1osof 30 августа 2015 0 4
Репост habrahabr.ru/post/265711/

Вопрос: а кого еще зацепило? Меня зацепило, в том числе и modxclub.ru
concept2 26 июня 2015 0 9
Доброго времени суток всем.
Нужна помощь. Столкнулся с проблемой. На литовском хостинге balticservers.com закрыли сайт armplast.eu за рассылку спама. Литовская техподдержка ничем помочь не захотела. Сам не являюсь большим специалистом. Товарищи помогли, в логах нашли вот такой запрос:

190.144.43.236 — - [24/Jun/2015:05:02:26 +0300] «GET /?x=()?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @ HTTP/1.0» 301 239 "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @"
190.144.43.236 — - [24/Jun/2015:05:02:27 +0300] «GET /?x=()%3fx=()?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @ HTTP/1.0» 200 15227 "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @"

Это, видимо, эксплойт.
Похоже, это и есть взлом.

HELP! Куда дальше копать? Эта проблема и уязвимость MODX (стоит версия MODX REVO 2.3.2) или вопросы к хостингу?
chelovek3 22 декабря 2014 1 1
Здравствуйте, Уважаемые Участники Клуба!

На этапе создания магазина спрашиваю вас, как, можно максимально эффективно (понятно что, ничего законченного не бывает, ибо человек — творческая душа) настроить систему для защиты от хакерских взломов и разных вирусов? Это актуально сегодня.
Например:
1. менять префикс таблиц (по умолчанию он — «modx_»)
2. настраивать атрибуты файлам и папкам 444 (каким? по списку из всей директории)
3. защита админ панели (вход в CMS) средствами браузера:
SetEnvIfNoCase User-Agent .*secret123450code.* admins
Order deny,allow
Deny from all
Allow from env=admins
Вместо «secret123450code» вставьте свое кодовое слово.

4. и т.д.
Спасибо!
Fi1osof 09 декабря 2014 1 0
Тема эта очень старая, но все равно актуальная. Обратился товарищ, взломали ему сразу несколько сайтов. 99% причина взлома — старая версия MODX-а (стоит 2.2.10, хотя актуальная — 2.2.16). Установили в систему плагин Core Services с милым описанием «MODx Revolution XPDo Core Services»:) Понятно дело, что «плагин» этот много что может делать, ибо eval, но одна из основных задач — фигачить ссылки на страницах ваших сайтов. В общем, не забывайте обновляться.