Уязвимость аддонов Esthetic

ValeCore · 19 Дек 2014

Exile написал(а):
valekor, вообще обращение к этому "API" тоже вырезать можно, это банальная стучалка автора к нему на сервер (на сайте таком-то с ип таким-то поставили аддон с ключом таким-то).

Ну, так-то мне особо без разницы, я покупал лицензию. Главное, чтобы не уходила другая инфа по этой якобы апишной ссылке.
Судя по ссылке, передается: айдишник аддона, IP и ключ.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

upd
Попросил своего приятеля глянуть код. Он человек занятой и обычно у него постоянно нет времени, но мне сегодня повезло и он глянул код.
В общем в аддоне есть бекдор и то решение, которое на первой странице в данном топике, оно не решает проблему. Так что будьте внимательны кому дорог свой форум.
А автор аддона мудила, слов нет.

Скорее всего он сделал вот как.
Прочухал, что его аддоны поплыли по всему инету(особенно аддон складчины) и он решил сделать по хитрому. Выпустил аддон ббкод с вшитым бекдором, да не просто выпустил, а выпустил можно сказать за копейки. То-то народ нарадоваться не может, мол, аддон копейки стоит - покупайте! Ну в общем разбежался этот аддон думаю довольно широко, а автору это только и нужно, чтобы максимальное количество людей установили его на свои форумы и автор потом мог в любой момент неугодный ему сайт слить, либо дефейснуть.

Мой совет, отключите сегодня же этот аддон. Отдайте его путевому кодеру на исследование и пусть вам удалят бекдор, потом только пользуйтесь. Иначе, 100% вашему форуму рано или поздно наступит трындец от рук автора, либо какого-то школьника.

Mirovinger · 19 Дек 2014

Мы осведомлены, что и в хайде и в дополнении складчины, присутствует код (даже где и какой), но раз Вы проверили, то и поделились бы для сообщества, ведь не все знают.

ValeCore · 19 Дек 2014

:O_o: Интересная у вас политика. Мы значит осведомлены где и что, а рассказывать другие должны. Я то поделился бы, но мне жалко людей. Школота ведь тут же побежит орудовать увидев как это работает. Тем более, что у них каникулы на носу. :-D половину рунета дефейснут нафиг.
На мой взгляд достаточно того, что я дожал этот вопрос до конца и сообщал о том, что проблема с уязвимостью не решена и всё так же присутствует. Тот кому надо будет подсуетится и удалит всё дерьмо которое автор зашил в код, а кому пофиг, ну значит пофиг, это уже их дело.
Или могу обменять бекдор в аддоне бб код на решение бекдора в складчине, в ЛС.

kolobrod · 19 Дек 2014

Exile, дак местные админы же против чтобы здесь модули виоделе были. Также как и на сайте складчик.ком нельзя сделать складчину :)
Это ж Рассея, вы чего ?

Mirovinger · 19 Дек 2014

valekor, Вы тему всю прочли?
https://xenforo.info/threads/Уязвимость-аддонов-esthetic.8366/page-3#post-74468

StopCod · 19 Дек 2014

valekor, тут, как говорится, сказал "а", говори и "б" :-)

Interaxion3 · 22 Дек 2014

valekor написал(а):
:O_o: Интересная у вас политика. Мы значит осведомлены где и что, а рассказывать другие должны. Я то поделился бы, но мне жалко людей. Школота ведь тут же побежит орудовать увидев как это работает. Тем более, что у них каникулы на носу. :-D половину рунета дефейснут нафиг.
На мой взгляд достаточно того, что я дожал этот вопрос до конца и сообщал о том, что проблема с уязвимостью не решена и всё так же присутствует. Тот кому надо будет подсуетится и удалит всё дерьмо которое автор зашил в код, а кому пофиг, ну значит пофиг, это уже их дело.
Или могу обменять бекдор в аддоне бб код на решение бекдора в складчине, в ЛС.

payments_table_ctrl.js
shopping_view_ctrl.js
?

DimTech · 23 Дек 2014

Interaxion3, ребят, какой фикс в аддоне совместный покупок? что нужно заменить?

mishazajceff · 23 Дек 2014

А фикс вообще есть?

Exile · 24 Дек 2014

DimTech написал(а):
Interaxion3, ребят, какой фикс в аддоне совместный покупок? что нужно заменить?

mishazajceff написал(а):
А фикс вообще есть?

Осилить тему из 3 страниц невмоготу? Тем более что на первой же странице все расписано.

Разыгралась драма и автор из-за озвученных выше угроз накатал на меня претензию в WebMoney, сославшись на то, что дескать я мошенник, потому что написал что могу выложить в открытый доступ модификацию. Посмеялся с утра, вот уж спасибо ему. В долгу перед автором не остался и написал ответ вместе со встречной претензией.

В ваших так называемых условиях сроки предоставления указаны вполне явно - 48 часов. Каких-либо разграничений для тех, кто попал под "дополнительную проверку" (которая и не производилась) не указано, не отсылок к тому, что сроки проверки для них могут быть увеличены.

Мошенником являетесь тут исключительно вы - не говоря уже о нарушении своей же публичной оферты, в вашей модификации организован бекдор, при помощи которого вы неоднократно нарушали или способствовали нарушению статьи ст. 272 УК РФ, то есть неправомерному доступу к компьютерной информации, повлекщей ее уничтожение.

А написать - не значит сделать. Но раз вы просите - Esthetic Extended BB-codes можно скачать тут совершенно бесплатно

Всего хорошего.

И да, для тех кто не заметил - исправленную версию Esthetic Extended BB-codes можно скачать тут совершенно бесплатно: :cool:

Hope · 24 Дек 2014

Exile, давайте вот только нас не надо подставлять всякими сливами и т.п. Кому надо исправленную версию - пусть пишут Вам и Вы дадите, если сочтёте нужным. :)
Автор конечно нехороший человек - это факт, но нафига нам лишние тёрки...

Exile · 24 Дек 2014

Hope, ну я не подставлял как бы - файл-то у Яндекса. Но если публикация ссылок запрещена, то ок, кому надо напишут.

mishazajceff · 24 Дек 2014

Exile написал(а):
Осилить тему из 3 страниц невмоготу? Тем более что на первой же странице все расписано.

Чуть выше написано, что удаление кода, якобы решающего проблему с бекдором не дает результата...
Мне хотелось бы ваш комментарий по этому поводу.

Exile · 24 Дек 2014

mishazajceff написал(а):
Чуть выше написано, что удаление кода, якобы решающего проблему с бекдором не дает результата...
Мне хотелось бы ваш комментарий по этому поводу.

А еще чуть выше написано решение всех проблем с бэкдорами: https://xenforo.info/threads/Уязвимость-аддонов-esthetic.8366/page-3#post-74468

mishazajceff · 24 Дек 2014

Exile написал(а):
А еще чуть выше написано решение всех проблем с бэкдорами: https://xenforo.info/threads/Уязвимость-аддонов-esthetic.8366/page-3#post-74468

Отлично! А после этого плагин перестанет быть уязвимым? Или есть у него еще какие-то проблемные места?

Exile · 24 Дек 2014

mishazajceff, да там просто ничего не остается после этого. Ну разве что стучалку автору удалить - выше опять же было.

Tapo4ek · 24 Дек 2014

Я так понял слили бд только у тех , кто сливал скрипт , или вскоре сольют у всех?
Где возможно получить версию исправленную...?

mms · 24 Дек 2014

Я верно понял? Выделенное нужно удалить вообще?

Exile · 24 Дек 2014

mms, да.

Tapo4ek написал(а):
Я так понял слили бд только у тех , кто сливал скрипт , или вскоре сольют у всех?

У тебя уже слили и продают на вещевом рынке Бобруйска.

Tapo4ek написал(а):
Где возможно получить версию исправленную...?

Скачать ту которую я кидал и удалить код, который показывает mms на скриншоте.

Tapo4ek · 24 Дек 2014

Exile написал(а):
mms, да.

У тебя уже слили и продают на вещевом рынке Бобруйска.

Скачать ту которую я кидал и удалить код, который показывает mms на скриншоте.

Не нашел вашу ссылку... код удалил из своей версии ... , но а ваша чем-то отличается? ;3

Уязвимость аддонов Esthetic

Мы ценим вашу конфиденциальность