PDA

Zobacz pełną wersję : Metodzie SQL Injection mówię: Spadaj na drzewo!



Jola
15-12-2009, 12:41
Po zapoznaniu się z materiałem (http://www.youtube.com/watch?v=fGJhi7LKDDU) przygotowanym przez @trzepiza na temat możliwości "dobrania" się do hasła administratora Joomla, przygotowałam odpowiedź w postaci plugina.
Ciekawski przy próbie przeczytania hasła spotyka się z właściwą odpowiedzią naszego "złośliwego" dodatku np. :"Spadaj na drzewo".
Oczywiście jest to jedna z opcji. Można w konfiguracji wpisać fałszywe hasło, które zaszyfrowane metodą Joomla będzie udawało prawdziwe.
Do wyboru jest również czyje hasła mają być ukrywane przy takiej próbie ataku: Super Administratorów, Wszystkich mających dostęp do panelu admina albo Wszystkich użytkowników.
Przy dużej liczbie użytkowników, ukrywanie wszystkich haseł może być dużym obciążeniem dla szybkości działania witryny.
Plugin podobnie potraktuje każdy kod, który będzie próbował wyświetlać hasła z tabeli jos_users (nazwa jos_users została podana przykładowo, niezależnie od użytego przedrostka - plugin będzie działał).
Plugin został przetestowany przez @trzepiza w "trudnych" warunkach i spisał się dobrze. Załączam paczkę instalacyjną. Po zainstalowaniu - skonfigurować i włączyć.
Testowanie może polegać na umieszczeniu w dowolnej części strony kodu, który będzie usiłował wyświetlać hasło.
Zapraszam do testowania.

trzepiz
15-12-2009, 13:08
Potwierdzam działanie pluginu.

Dla niewtajemniczonych - ostatnio przygotowałem materiał pokazujący jak łatwo można poznać hasło Administratora korzystając z metody SQL Injection (wstrzyknięcie zapytania SQL powodujące wyświetlenie hasła)

Zobacz materiał wideo (http://www.youtube.com/watch?v=fGJhi7LKDDU)

Dzięki pracy jolaass - mogę z pełną świadomością stwierdzić, że w/w metoda jest bezskuteczna.


PS: od pewnego czasu przygotowuję również pełną listę komponentów podatnych na ataki - po uruchomieniu mojej małej autorskiej witrynki będzie można sprawdzić jakich rozszerzeń warto unikać.

Oczywiście w porozumieniu ze Zwiastunem postaram się opracować taką tabelę na wiki.joomla.pl

pyziak
15-12-2009, 13:13
No pięknie, a czy można by było rozszerzyć dodatek o logowanie takich prób ataku oraz z jakiego IP było wykonane ?

Jdwind
20-12-2009, 16:04
Jolu, super sprawa, jesteś nieoceniona. Tylko powiedzcie mi proszę, czy taki plugin nie powinien być standardowo w plikach instalacyjnych Joomla!, skoro przeprowadzenie takiego ataku jest tak proste, jak to przedstawił Trzepiz?

Jola
20-01-2010, 04:59
Odpowiadam późno, bo nie miałam informacji o wpisach do tego wątku. :)
Na prośbę @pyziaka zmodyfikowałam dodatek plgSpadaj.
W konfiguracji można wybrać zapisywanie prób ataków do pliku tekstowego, trzeba wówczas podać nazwę i ścieżkę do pliku.
Przy próbie wyświetlenia hasła zapisywana jest Data, IP, Referer (strona, na której użytkownik został przekierowany za pomocą odnośnika), Metoda (np. get), Przeglądarka i Połączenie.
Modyfikacja poprzedniej wersji polega na nadpisaniu obydwu plików, wybraniu konfiguracji dodatku i zapisaniu.

pyziak
20-01-2010, 10:40
@jolaass dziękuję za wdrożenie mojej sugestii. Wspaniała robota
Pozdrawiam.

KejeN
20-01-2010, 14:31
Ale super mega dobra rzecz. Dzięki jolaass, dzięki trzepiz!!
Można by temat przykleić?

Jola
20-01-2010, 16:36
Jeszcze jeden pomysł!
Dla chętnych - po zapisaniu informacji do pliku - zapisanie również do Prywatnych wiadomości administratora (panel administratora).
Dodany kod pogrubiony:

if ($jest == 1 && $zapis){
$dane = date("Y.m.d G:i")." IP: ".$_SERVER['REMOTE_ADDR']." Referer: ".$_SERVER['HTTP_REFERER']." Metoda ".$_SERVER['REQUEST_METHOD']." Agent ".$_SERVER['HTTP_USER_AGENT']." Connection: ".$_SERVER['HTTP_CONNECTION']."\n";
$file = $plik;
$fp = fopen($file, "a");
flock($fp, 2);
fwrite($fp, $dane);
flock($fp, 3);
fclose($fp);

$sql = "insert into #__messages values(null, 62, 62, 0, now(), 0, 0, 'Atak SQL Injection','Próba przejęcia hasła')";
$db->setQuery($sql);
$db->query();
}
Druga wartość 62 to id administratora, który dostanie wiadomość.

trzepiz
20-01-2010, 16:42
cóż mogę powiedzieć jak słów brak.?

good job ...

PeFik
20-01-2010, 20:22
Druga wartość 62 to id administratora, który dostanie wiadomość.

Super plugin. Mam jednak jedną sugestięę, otóż już na wielu blogach dot.bezpieczeństwa Joomla! sugeruje się, aby ów ID62 super admina zastąpić. Bo każde hack-dziecko wie kogo ma atakować.

Rada w skrócie brzmi tak:
a) załóż sobie konto super admina
b) a konto o ID62 zmień na zwykłego zarejestrowanego.

Jeszcze raz dzięki ;)

Jac
21-01-2010, 15:50
Dodatek i sam pomysł świetna sprawa!
Dzięki jolaass!

elementh
10-02-2010, 15:23
Nic dodać nic ująć.. Poprostu WOW!
Serdeczne podziękowania za pomysł i wykonanie!

Pozdrawiam,
Elementh

Jola
08-03-2010, 04:17
Dzięki @moje popełniłam kolejną modyfikację dodatku Spadaj. Zmiana polega na rozszerzeniu konfiguracji:
dołożeniu możliwości wyboru sposobu zapisu o próbie ataku
oraz id powiadamianego administratora i id użytkownika traktowanego jako nadawca tej informacji.
Tym razem dodatek jest do pobrania w plikowni: Dodatek Spadaj (http://pliki.joomla.pl/katalog/dostep-i-bezpieczenstwo/bezpieczenstwo-witryny/dodatek-spadaj.html)

keran
10-03-2010, 14:04
Fajny dodatek ale czy nie lepiej temat podpiąć pod kategorie 'bezpieczeństwo', są takie na forum. Tutaj może zostać zarzucony innymi mniej ważnymi postami.

abbadona
29-03-2010, 20:41
No - testuję na świeżo - jestem po ataku.
Wziąłem z logów kod hakjera i rzeczywiście pokazuje to:
nazwa_konta_administratora:8a4d...........e4925fd: GeELbM.................8Pdeq2Yfk
pytania jakie mam:
1 - do czego jest ten dwukropek w środku? - przy próbie odkodowania na stronach - cześć z nich orientowała się, że to niewłaściwy kod i proponowała mi sprawdzenie tylko pierwszej części
2 - zapewne nie jest to sprawą tego dodatku, ale - co sprawdziłem - wstrzyknięty kod podaje prawdziwą nazwę_konta_administratora. Wiem , że w bazie nie jest to nazwa zakodowana ani chroniona, tylko po co więc ją w ogóle zmieniać - co zalecają poradniki bezpieczeństwa - jeśli wstrzyknięty kod tą nazwę pokazuje?

towaldek
26-04-2010, 10:48
Witam.

Od jakiegoś czasu tworzę witryny z użyciem Joomla. Tym razem szczególny nacisk kładę na bezpieczeństwo.
Taki dodatek to skarb. Zainstalowałem, ale nie mogę znaleźć, gdzie jest konfiguracja dodatku. Czy może bezpośrednio w pliko xml?
Nie jestem aż tak doświadczonym adminem.
Z góry dzięki za odpowiedź i pozdrawiam.

towaldek

Jola
28-04-2010, 02:28
Witam,
rozszerzenia->dodatki->System - Spadaj -> Parametry :)

Bahanetii
09-09-2010, 12:52
Dodatek jest naprawdę fajny - dzięki - to za mało - poprostu COOL
:up:


natomiast nasuwa mi się dygresja - tak długo jak mamy odczynienia z robotami - jest ok - natomiast jeśli siedzi po drugiej stronie człowiek możemy sobie zrobić kuku - ja osobiście hasło "Spadaj na drzewo" potraktowałbym jako obrazę i wyzwanie (elementy socjotechniki i NLP). Proponuję więc takie przekierowanie które będzie informowało o nie znalezieniu lub braku dostępu (osobiście polecam to pierwsze - zawsze w przekierowaniu możemy wpisać przypadkowy ciąg liczbowy po index.php? i przeglądarki "głupieją").
Do zabezpieczeń polecam również dorzucenie modułu jSecure (co prawda płatny - jednak cena 4,99$ jest niską ceną za dodatkowy poziom zabezpieczenia) i rozwiązanie j.w. - trudno dobrać się do czegoś co nie istnieje (tylko w uzyskiwanej informacji)
Co do konfiguracji jSecure dla Joomla'i 1.5.x polecam konfigurację na ścieżkę ukrytą (ukrywa nam dostęp do logowania admina od zaplecza) - po wpisaniu http://TwojaDomena/administrator przekierowuje klienta ciekawskiego na dowolne - wskazane przez Ciebie przekierowania - polecam "ślepe przekierowanie" z odpowiedzią przeglądarki - "Nie można odnaleźć strony sieci Web"
Natomiast żeby uzyskać dostęp do logowania od zaplecza należy wpisać -
http://TwojaDomena/administrator/?TwójSekretnyKod (http://www.zbuntowany.pl/administrator/index.php?mrucza)
(w konfiguracji sekretny kod może się składać tylko z liter - nie należy używać cyfr i znaków specjalnych)
w przypadku nie funkcjonowania ścieżki którą podałem powyżej należy użyć ścieżki w opcji poniżej
http://TwojaDomena/administrator/index.php?TwójSekretnyKod (http://TwojaDomena/administrator/index.php?Tw%C3%B3jSekretnyKod)
Jeżeli macie obawy co do przypadkowego - trudno odwracalnego zamknięcia sobie dostępu proponuję wykorzystać fakt iż Joomla pozwala na jednoczesne zalogowanie wielu użytkowników z tymi samymi uprawnieniami - nie identyfikując czy przypadkiem nie jest to logowanie na tym samym koncie użytkownika (wada którą moim zdaniem należałoby usunąć na stałe z Joomla'i - doraźne rozwiązanie poniżej).
No dobra - działa to tak
Otwieramy w kompie FF i CHROME (może być naturalnie OPERA, IE itp)
logujemy się od zaplecza Główny administrator i - w jednej zaciągamy i konfigurujemy jSecure - zapisujemy (uwaga nie zamykać zaplecza i przedłużyć sesję np do 60 minut podczas prób aby nas nie wylogowało automatycznie)
W tym momencie otwieramy drugą (koniecznie!!! inną przeglądarkę/przy tej samej przeglądarce i dwóch oknach korzystamy z tego samego cash,a ) i próbujemy logować się normalną ścieżką Joomla'i - czyli http://TwojaDomena/administrator
jeżeli nas przekierowuje to sprawę mamy prawie załatwioną. Następnie dokonujemy próby uzyskania dostępu do panelu logowania za pomocą ścieżki
http://TwojaDomena/administrator/?TwójSekretnyKod (http://www.zbuntowany.pl/administrator/index.php?mrucza)
jeżeli dalej nas przekierowuje to robimy to z wykorzystaniem struktury ścieżki
http://TwojaDomena/administrator/index.php?TwójSekretnyKod (http://TwojaDomena/administrator/index.php?Tw%C3%B3jSekretnyKod)

i to by było na tyle,

o kurcze - aż mnie korci żeby dorzucić jeszcze kilka słów:

- tak sobie myślę że jeżeli zebrać:

1. COOL dodatek Jolaass (http://pliki.joomla.pl/index2.php?option=com_sobi2&sobi2Task=dd_download&fid=929&format=html)

2. "Wymienić konto administratora" - jak pisał PeFik

3.JSecure (http://www.joomlaserviceprovider.com/component/ambrasubs/file/view/5/7.html) - ukrywanie panelu logowania backend, z ciekawostek - możliwość ograniczenia logowania z wykorzystaniem opcji ukrywania ścieżki admina tylko do zadeklarowanego IP (nie używać !!! tej opcji konfiguracji przy łączach z dynamicznym IP), zapis prób nieautoryzowanego dostępu, dodatkowe zabezpieczenie dostępu do konfiguracji komponentu za pomocą hasła, możliwość natychmiastowej informacji o próbach nieautoryzowanego dostępu via e-mail, zapis IP prób nieautoryzowanego dostępu.

4.Duble login blocker (http://www.mightyextensions.com//index2.php?option=com_resource&task=download&no_html=1&file=12060) - blokada podwójnego logowania w tym samym czasie, na tym samym koncie użytkownika

5.Encrypt configuration (http://www.ratmil.com/downloads/category/1-security.html?download=9%3Aencryption_configuratio n) - ukrywanie hasła admina algorytmem w czasie logowania

6.RSFireWall (http://downloads.joomlacode.org/frsrelease/5/4/8/54830/kickstart-3.1.3.zip) - nazwa chyba sama wyjaśnia zastosowanie

7.Block Password Reset (http://www.spiralscripts.co.uk/Joomla-Plugins/22-Plug-Block-Password-Reset/flypage-ask.tpl.html) - blokada resetowania hasła admina - UWAGA !!! - nie polecam osobom ze słabą pamięcią hasła - po instalacji nie można użyć zestawu "RATUJ ADMINA"

i zarchiwizować używając;

Akeeba (http://downloads.joomlacode.org/frsrelease/5/4/9/54920/com_akeeba-3.1.rc1-core.zip)

dodałbym;

Administrator icon module (http://downloads.joomlacode.org/frsrelease/5/4/9/54921/mod_akadmin-3.1.rc1.zip) -konfiguracja auto-backup z zaplecza administratora

sterowanie z poziomu kompa za pomocą Akeeba Remote Control (http://downloads.joomlacode.org/frsrelease/4/8/3/48393/SetupAkeebaRemoteControl.exe)

wymagany po stronie joomla control remote plugin (http://www.akeebabackup.com/index.php?option=com_ars&view=download&format=raw&id=80&Itemid=193)

po wpadce, ataku lub zmianie hostu instalka w 5 minut używając kickstart,a (http://downloads.joomlacode.org/frsrelease/5/4/8/54830/kickstart-3.1.3.zip)

- No i chyba mamy zabezpieczenie na całkiem fajnym poziomie :podstep:
:zagubiony:No może to jeszcze nie Fort KNOX - jednak już nie kiosk RUCH,u:zagubiony:

Jak to widzicie, jak to czujecie?

No i jeszcze jedno - za kilka dzionków postawię pustą witrynkę, tylko z zabezpieczeniami i prośbą do Was o wszystkie możliwe ataki które przyjdą Wam do głowy - dowiemy się wówczas jeszcze paru ciekawych rzeczy :podstep:

Jeżeli Macie jakieś pytania, uwagi, lub komentarze - z chęcią się zapoznam - warto się uczyć od innych :)
Bahanetii

Bahanetii
09-09-2010, 12:56
Super - dzięki
Osobiście polecam dorzucenie JSecure i kodowanie hasła admina algorytmem
Może to jeszcze nie Alcatraz, lecz na pewno już nie kiosk RUCH.
Bahanetii

Bahanetii
09-09-2010, 14:15
dla mnie po prostu super i wielkie dzięki


Tak sobie myślę że:
jeżeli połączymy Twój dodatek SPADAJ (http://pliki.joomla.pl/index2.php?option=com_sobi2&sobi2Task=dd_download&fid=929&format=html)
z
1.Plugin - Double login blocker (http://www.mightyextensions.com//index2.php?option=com_resource&task=download&no_html=1&file=12060)
2.JSecure (http://www.joomlaserviceprovider.com/component/ambrasubs/file/view/5/7.html)

3.Plug Block Password Reset (http://www.spiralscripts.co.uk/Joomla-Plugins/22-Plug-Block-Password-Reset/flypage-ask.tpl.html)

4.zmienimy konto admina (ktoś to już proponował)
(http://www.ratmil.com/downloads/category/1-security.html?download=9%3Aencryption_configuratio n)
5.Encryption Configuration (http://www.ratmil.com/downloads/category/1-security.html?download=9%3Aencryption_configuratio n)
oraz
zarchwizujemy się przez
Akeeba (http://downloads.joomlacode.org/frsrelease/5/1/9/51949/com_akeeba-3.0-core.zip)
proponuję też automatyzację procesu poprzez moduł admina (http://downloads.joomlacode.org/frsrelease/5/1/9/51954/mod_akadmin-3.0.zip)
lub poprzez sterowanie z poziomu kompa (http://downloads.joomlacode.org/frsrelease/4/8/3/48393/SetupAkeebaRemoteControl.exe) - pamiętaj o zainstalowaniu dodatku (http://www.akeebabackup.com/index.php?option=com_ars&view=download&format=raw&id=80&Itemid=149)
Całościowo otrzymujemy całkiem przyzwoity poziom bezpieczeństwa witryny
Może to jeszcze nie Fort Knox (http://www.google.pl/url?sa=t&source=web&cd=1&ved=0CBwQFjAA&url=http%3A%2F%2Fpl.wikipedia.org%2Fwiki%2FFort_Kn ox&rct=j&q=fort%20nox&ei=I8CITI3CMcrHswbvuKCWCg&usg=AFQjCNFTC1LndCT-OpWM-4XTKkh0OanI6Q&cad=rja) lecz również już nie świnka - skarbonka :-)
Trafanon

Trafanon
09-09-2010, 14:37
Dla mnie super

kurtz
11-09-2010, 10:52
te, mentalista jak żeś taki subtelny wpisz se zamiast "spadaj na drzewo" paciorek. to na 100 % wygasi złowrogie zapędy atakującego.

Jola
12-09-2010, 03:34
Witam,
przypominam o możliwości wyświetlania fałszywego hasła w oryginalnej postaci , bez mniej czy bardziej dosadnych komentarzy :).

Bahanetii
12-09-2010, 10:45
Również racja :)
Najwyżej kolega hack pomyśli sobie że jego metoda jest do kitu :)

Jola
14-03-2011, 01:32
Od dzisiaj w plikowni dostępny jest dodatek Spadaj dostosowany dla Joomla 1.6.
Dodatek Spadaj_v1.6 (http://pliki.joomla.pl/index.php?option=com_sobi2&sobi2Task=sobi2Details&sobi2Id=830&Itemid=17)

polcud
20-03-2011, 00:08
Witam,
czy dostępna jest gdzieś też wersja dla Joomla 1.0, czy też nigdy nie istniała? Nie mogę niestety znaleźć.
Dziękuję

Jola
21-03-2011, 23:16
Wersja do Joomla 1.0 nigdy nie powstała. W chwili wolnego czasu pewnie wyprodukuję :).

polcud
22-03-2011, 01:18
Oj, to bym się ucieszył! Mam jedną taką starą, trochę bezbronną Joomlę 1.0.13, chciałbym, żeby jeszcze w zdrowiu pożyła. Serdeczności! Piotr :)

anai
09-04-2011, 21:05
A ja mam problem
ktoś ze znajomych zainstralował sobie ,,spadaj" i zapomniał hasła :lol:
Nieoceniona Jolu, czy jest jakiś sposób, żeby się dostać na stronę?
Próbowałam na różne sposoby, ale widać - świetnie to napisałaś :)

Jola
10-04-2011, 05:20
Co to znaczy "zapomniał hasła"?
Hasła do czego?

Gall Anonim
10-04-2011, 10:59
sorrki, chyba się zakręciłem dwa razy

Gall Anonim
10-04-2011, 13:10
Co to znaczy "zapomniał hasła"?
Hasła do czego?
Jak dla mnie hasła administratora witryny i nie może się tam dostać bo zainstalował Twój doskonale sprawdzający się plugin (jak widać).
O ile jesteś właścicielem całości (lub twój znajomy) to możesz wejść do BD z panelu phpMyAdmin (http://www.phpmyadmin.net/home_page/index.php) dostępnego z panelu użytkownika usługi hostingowej i tam wyłączyć dodatek oraz zmienić również hasło dostępu do zaplecza witryny (o czym było wielokrotnie na forum).
Prywatnie mam jednak odczucie że albo klient zmienił hasełko i nie zapłacił, albo jakiś dawny klient się "zakręcił" i ma amnezję (co się często zdarza).
W pierwszym przypadku - frycowe.
W drugim - zrobisz w 5 minut (w trzecim - a właściwie podanym przez Ciebie - również w 5 minut).
Pzdr

bowie15
10-04-2011, 20:44
Czy można prosić o wyjaśnienie powodu błędu : Fatal error: Class 'JParameter' not found in C:\xampp\htdocs\joomla16\plugins\system\spadaj\spa daj.php on line 32 ? - pojawia się po włączeniu dodatku.

scopy
10-04-2011, 20:45
Witam
Zainstalowałem plugin i otrzymuje z częstotliwością co minute wiadomość o ataku co żle ustawiłem bo już nie wiem?

Jola
11-04-2011, 06:19
@bowie15 masz Joomla 1.6 a dodatek zainstalowałeś do wersji 1.5.
Pobierz i zainstaluj wersję z #25
@scopy - widocznie gdzieś w treści witryny każesz wyświetlać treść hasła, może testowo.

bowie15
11-04-2011, 10:04
@bowie15 masz Joomla 1.6 a dodatek zainstalowałeś do wersji 1.5.
Pobierz i zainstaluj wersję z #25
:wstyd: - przepraszam, problemy z czytaniem

scopy
14-04-2011, 21:19
Pani Jolu po wyłączeniu pluginu gdy loguje sie do panelu admina po kliknięciu zaloguj, powracam do strony logowania ?

Jola
14-04-2011, 22:24
Włączenie i wyłączenie pluginu Spadaj nie ma nic wspólnego z logowaniem.
Podejrzewam, że z rozpędu wyłączyłeś również inne dodatki.
Przetestuj działanie tego (http://forum.joomla.pl/showthread.php?21877-Jak-przywr%C3%B3ci%C4%87-has%C5%82o-administratora&p=207159&viewfull=1#post207159) dodatku.

jacek66
16-03-2012, 00:40
Witam Wszystkich,
jestem joomlo-psujem,jak ktos to okreslil.Staram sie zrobic sobie budzetowa stronke www.Zainstalowalem Joomle 2.5.1 i wtyczke Joli "spadaj" rekomendowana do wersji 1.6.Instalacja przebiegla niby poprawnie ,nawet mozna cos tam konfigurowac.Prosze o informacje bardziej zorientowanych ,czy ta wtyka dziala w tej prawie najnowszej wersji ,bo nie mam pojecia jak to sprawdzic.
Pozdrawiam
jacek

Jola
16-02-2013, 09:36
Witam,
wersja 1.6 działa poprawnie również na 2.5.
Dla wątpiących w plikowni wersja specjalnie dla Joomla 2.5 :)

Jdwind
16-01-2014, 23:57
Witam Jolu, a czy jest jakiś cień szansy, że wyjdzie wersja dla Joomla 3?

Jola
17-01-2014, 00:19
Jest :). Mam w głowie pomysł na rozszerzenie funkcjonalności dla Spadaj ale to wymaga więcej czasu.
Na razie postaram się dostosować wersję standardową.

Jdwind
17-01-2014, 01:10
Z góry dziękuję. I dzięki za informację, jakoś nie wyobrażam sobie strony bez tego dodatku :).

Jola
24-01-2014, 23:07
Witam,
w plikowni udostępniłam nową wersję Spadaj dla Joomla 3 (http://pliki.joomla.pl/index.php?option=com_sobi2&sobi2Task=sobi2Details&sobi2Id=830&Itemid=17).

Wersja ta została wyposażona w nową funkcjonalność.

Dodatek umożliwia blokowanie połączeń do strony jeśli wysyłany jest formularz metodą POST, formularz wysyłany jest z obcego adresu i adres ten nie znajduje na liście adresów dozwolonych.
Modyfikacja ta wzięła się z mojej analizy logów zaatakowanej witryny, wszystkie ataki polegały na bombardowaniu "słabych punktów" rozszerzeń Joomla formularzami metodą POST ( w skrócie nazywam to metodą POST).
Ochronę przed metodą POST można włączyć i wyłączyć.
Jeśli znamy konieczne dla funkcjonowania witryny adresy IP, z których wysyłane są formularze (np. witryny obsługujące płatności), należy je wpisać na listę dozwolonych adresów w konfiguracji dodatku.

Wybór sposobu powiadamiania dotyczy obu metod ochrony.
Do przetestowania ochrony metodą POST załączam prosty formularz, w którym należy tylko zmienić adres wysyłanego formularza z: http://www.adres_strony.pl na własny i wysłać go z innego adresu niż adres strony (np z komputera).

Jak wszyscy wiemy ostatnio coraz częściej pojawiają się ataki na witryny. Może dobrym pomysłem byłoby analizowanie sposobów włamań.
Problem dziurawych dodatków jest ogólnie znany. Chodzi mi raczej o zaobserwowane metody.
Jeśli ktoś posiada taką wiedzę - niech się nią podzieli. Może się przydać przy kolejnych modyfikacjach.

Moim zamiarem jest rozszerzenie o nową funkcjonalność poprzednie wersje Spadaj.
Poprawione wersje postaram się wrzucić do plikowni lada dzień :).

Jola
26-01-2014, 03:06
Dzisiaj dodałam do plikowni nową, rozszerzoną wersję spadaj_v_2.5.1 (http://pliki.joomla.pl/index.php?option=com_sobi2&sobi2Task=sobi2Details&sobi2Id=830&Itemid=17) dla Joomla 2.5.
Opis zmian w poprzednim wątku.
Przy okazji zrobiłam kosmetyczne poprawki dla wersji 3 - spadaj_v_3.1 (http://pliki.joomla.pl/index.php?option=com_sobi2&sobi2Task=sobi2Details&sobi2Id=830&Itemid=17).

Jdwind
26-01-2014, 03:49
Jak zwykle, po raz kolejny, dzięki wielkie Jolu! Kawał super roboty to mało powiedziane.

seba.adm
27-01-2014, 02:05
Jola dziękujemy :)
Informacja o dodatku została opublikowana również na joomla.pl (http://www.joomla.pl/zasoby/na-twoja-witryne/dodatek-spadaj-dla-joomla-3-x-i-nowa-wersja-dla-joomla-2-5)

Jola
28-01-2014, 06:28
Żeby sprawiedliwości stało się zadość: w plikowni (http://pliki.joomla.pl/index.php?option=com_sobi2&sobi2Task=sobi2Details&sobi2Id=830&Itemid=17) pojawiła się również nowa wersja dla !Joomla 1.5

Mackris
19-02-2014, 22:51
Zainstalowałem dodatek na Joomli 1.5 i chodzi dobrze. Zainstalowałem również na 2.5, jak otworzyłem dodatek, włączyłem, wpisałem pozorowane hasło, zapisałem zmiany dodatku, to wyskoczyły mi 3 błędy:

Warning: in_array() expects parameter 2 to be array, string given in /xxxx itd.../plugins/system/spadaj/spadaj.php on line 141

Warning: implode() [function.implode (http://white.arper.pl/administrator/function.implode)]: Invalid arguments passed in /xxxx itd.../plugins/system/spadaj/spadaj.php on line 142

Warning: Invalid argument supplied for foreach() in /xxxx itd.../plugins/system/spadaj/spadaj.php on line 152
W rezultacie na zapleczu nie mogę nic zapisać, wyłączyć dodatku, ani go odinstalować. Jak chcę przejść w inne miejsce zaplecza, to pokazuje mi pustą stronę. Na stronie frontowej pokazuje mi identyczne błędy jak w zapleczu (powyzej zacytowane).
Co mam nie tak zrobione?

Jola
20-02-2014, 22:57
Wyłącz dodatek w bazie danych: tabela #__extensions -> type: plugin -> folder: system
zmień enabled na 0
Jak wyłączysz sprawdź jakie grupy użytkowników zaznaczyłeś w konfiguracji dodatku.
Jeśli nie zaznaczyłeś żadnej - to jest powód błędu.
Chociaż spotkałam się z przypadkiem gdy ktoś zaznaczył tylko public i pojawił się podobny błąd - ale przyczyna była mniej sympatyczna: infekcja witryny.
Po wyczyszczeniu "śmieci" zaznaczenie samego public nie sprawiało żadnego kłopotu.
mała uwaga na koniec - proszę o błędach wymagających szybkiej reakcji nie pisać w dziale faq.
Na forum nie działa powiadamianie o nowych wpisach w tym dziale.