Мануал по созданию нулла OKay CMS и Simpla CMS

короче я понял как палят движок- проще пареной репы...
есть сервисы, где по коду html можно легко найти окэй.
только что проверил, ищется на ура..

правда пока знаю только один такой сервис и он показывает бесплатно только первые 5 сайтов.. но кто мешает найти другой или им написать парсер и заплатить деньги- на выходе профит..
пример сайт- сами проверьте
Скрытое содержимое доступно для зарегистрированных пользователей!


я думаю надо просто в шаблоне css сильно сильно переделать, тогда запарятся искать.. так- все нулли под прицелом((
 
короче я понял как палят движок- проще пареной репы...
есть сервисы, где по коду html можно легко найти окэй.
только что проверил, ищется на ура..

правда пока знаю только один такой сервис и он показывает бесплатно только первые 5 сайтов.. но кто мешает найти другой или им написать парсер и заплатить деньги- на выходе профит..
пример сайт- сами проверьте


я думаю надо просто в шаблоне css сильно сильно переделать, тогда запарятся искать.. так- все нулли под прицелом((

вот неплохой сервис который показывает какая cms установлена. Но не всегда на 100% точный.
Скрытое содержимое доступно для зарегистрированных пользователей!
 
проверяем, тестируем
Скрытое содержимое доступно для зарегистрированных пользователей!
 
Ребята, подскажите, Okay все еще палят nulled версию? Писали, что через 3-5 месяцев пишут хостеру.

Смотря какой нулл, как сделан и кем. Палят отлично когда с нуля устанавливаешь и приходит ответ от сервера с тестовым серийником на 30 дней.
 
вот неплохой сервис который показывает какая cms установлена. Но не всегда на 100% точный.

да толку то от этого, ведь сначала надо чтобы на движок изначально вышли.. а выйти чтобы на него, нужна индексация и т.д. вот тогда по признакам и найдут прекрасно
 
да толку то от этого, ведь сначала надо чтобы на движок изначально вышли.. а выйти чтобы на него, нужна индексация и т.д. вот тогда по признакам и найдут прекрасно

вы хотите сказать, что сидят специально обученные люди и сканируют глобальную сеть, выискивая сайты на этом движке по коду :lol::lol::lol:

Ничего искать не надо, при установке пробных дистрибутивов (30 дней триала) или плохих "нулёнок", срабатывают стучалки, а потом вам тупо трезвонит менеджер по указанным телефонам или почте на вашем сайте, если связи нет, стучит провайдеру.
 
Скрытое содержимое доступно для зарегистрированных пользователей!
 
Добрый день форумчане.
Сегодня ради интереса прогнал последнию версию движка 2.1.5 через айболит и наткнулся на такую вещь:
PHP:
Уязвимости в скриптах (1)
source/okaycms/lib/PHPMailer/class.phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031
Почитал статьи на Хабе, как понял, злоумышленик может отправлять почтовые сообщения через разные поля обратной связи и тому подобное.
Подскажите, можно ли как то себя обезопасить?
Или это не такая уж и критичная ситуация и есть какая то дополнительная проверка в скрипте на валидацию поля Email ?
ЗЫ: Может вообще зря голову забиваю по этому поводу?

Okay дали ответ:

Добрый день.
Спасибо за сообщение, в новой версии исправим это.
Для устранения это проблемы самостоятельно можете обновить PHPMailer до последней версии
 
Последнее редактирование модератором:
Добрый день форумчане.
Сегодня ради интереса прогнал последнию версию движка 2.1.5 через айболит и наткнулся на такую вещь:
PHP:
Уязвимости в скриптах (1)
source/okaycms/lib/PHPMailer/class.phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031
Почитал статьи на Хабе, как понял, злоумышленик может отправлять почтовые сообщения через разные поля обратной связи и тому подобное.
Подскажите, можно ли как то себя обезопасить?
Или это не такая уж и критичная ситуация и есть какая то дополнительная проверка в скрипте на валидацию поля Email ?
ЗЫ: Может вообще зря голову забиваю по этому поводу?

Okay дали ответ:

Добрый день.
Спасибо за сообщение, в новой версии исправим это.
Для устранения это проблемы самостоятельно можете обновить PHPMailer до последней версии


Если у вас почта (ящик для обратной связи) на маил ру или яндексе, например, то встроенный антиспам контроль сразу покажет что пошёл поток спама, пометит письма как нежелательные. А вот если данную брешь можно использовать, рассылая письма всем кому хочешь с вашего сайта, надо самим закрыть как можно быстрее быстрее, чем ждать обновления. В старых версиях движка, без капчи в обратной связи, спам шёл мама не горюй, потом закрыли.
 
Почитал статьи на Хабе, как понял, злоумышленик может отправлять почтовые сообщения через разные поля обратной связи и тому подобное.
Подскажите, можно ли как то себя обезопасить?
Или это не такая уж и критичная ситуация и есть какая то дополнительная проверка в скрипте на валидацию поля Email ?
ЗЫ: Может вообще зря голову забиваю по этому поводу?

Если у вас почта (ящик для обратной связи) на маил ру или яндексе, например, то встроенный антиспам контроль сразу покажет что пошёл поток спама, пометит письма как нежелательные. А вот если данную брешь можно использовать, рассылая письма всем кому хочешь с вашего сайта, надо самим закрыть как можно быстрее быстрее, чем ждать обновления. В старых версиях движка, без капчи в обратной связи, спам шёл мама не горюй, потом закрыли.
Вы оба не поняли суть уязвимости. Злоумышленник может определённым образом сформировать строку символов и вставить её в поле "Ваш e-mail" в контакт-форме или вообще в любом месте сайта (в ЛК, например), где используется адрес почты пользователя. Далее, только в том случае, если движок не чекает своими силами адрес на валидность, при активации отправки почты пользователю (заполнена контакт-форма, оформлена покупка, ...) будет создан файл с таким именем и в том каталоге, которые выбрал злоумышленник при формировании строки символов. Например, /var/www/site.com/evil.php. Содержимое файла абсолютно любое, какое захочет и подготовит атакующий. Есть только 2 ограничения: каталог должен быть доступен на запись веб-серверу и полный путь к каталогу должен быть заранее известен. Оба эти ограничения обойти несложно. Если операция прошла успешно, то затем атакующий просто вызывает в браузере site.com/evil.php и выполняет свой код с правами веб-сервера)
 
Назад
Сверху