Уязвимость загрузки файлов в компоненте AdsManager в папку plupload
В последнее время попадаются сайты с одной и той же уязвимостью в AdsManager, в этой статье я расскажу, как найти и закрыть уязвимость на сайте.
Первым мне попались в логах следующие строки:
"POST /index.php?option=com_adsmanager&task=upload&tmpl=component HTTP/1.0" 200
"GET /tmp/plupload/yzb.php?input HTTP/1.0" 200
Итак, к нам на сайт через эксплоит загрузили шелл в папку tmp/plupload, и теперь с нашим сайтом можно сделать всё, что угодно.
В чем же заключается уязвимость? В следующей статье я более подробно воспроизведу атаку на сайт, здесь лишь оговорюсь, что при загрузке файлов отсутствует какая либо фильтрация.
Открываем файл components/com_adsmanager/controller.php и видим, что это действительно так:
$filename = $directory."/".basename($file['name']);
- нету никакой проверки расширения файлов.
Теперь перейдем к тому, как нам избавиться от проблемы. Самым простым методом будет обновить компонент до актуальной версии, где дыра немного прикрыта. Однако этот универсальный метод подходит не всем, так как у многих AdsManager прилично бывает модифицирован и обновление принесет проблемы с восстановлением функционала. Поэтому мы можем просто внести правки в код с новой версии касательно безопасности. Достаточно будет в файл контроллера добавить следующие строки после строки $filename = $directory."/".basename($file['name']);
$ext = strrpos($fileName, '.');
$fileName_b = strtolower(substr($fileName, $ext+1));
if (!in_array($fileName_b,array("jpg","jpeg","gif","png"))) {
exit();
}
Но мне не особо нравится это решение, по той причине, что здесь всё равно нету нормальной фильтрации типов файлов. Поэтому я рекомендую в папку tmp/plupload добавить защитный файл .htaccess с кодом:
# Здесь мы запрещаем доступ к файлам извне, можно заменить на запрет исполнения опасных файлов
Order Deny,Allow
Deny from All
# Чтобы предотвратить замену файла .htaccess (Спасибо решению с Revisium )
RewriteEngine On
RewriteRule ^tmp/ - [F]
--- # Андрей 07.05.2016 16:00 Установил AdsManeger пол года назад и недавно заметил, что мне в папку tmp заливают файлы. Сначала я их просто удалял, но потом случайно нашел статью про уязвимость в компоненте, сделал два варианта по защите сайта, через пару месяцев отпишусь.
--- 0 # Денис 11.11.2017 19:09 Добрый вечер, спасибо за статью! А не подскажите, как будет выглядеть код для htaccess и controller.php Если нужно ограничить все расширения кроме одного, например mp3, и ограничить размер загружаемого файла, например до 5 Mb Заранее спасибо!
--- 0 # Protect Your Site 12.11.2017 08:06 Добрый день, Денис! Вот в этой строке: Цитата: if (!in_array($fileName_b,array("jpg","jpeg","gif","png"))) { Как раз и указываются разрешенные расширения, а ограничения на рзамер загружаемого файла задаются у хостинга на сервере. Я бы советовал посмотреть, какая версия AdsManager используется, вполне возможно, что в новых версиях это можно отредактировать в админке в настройках, без правок ядра расширения. ---
За инфу спасибо: https://protectyoursite.ru/%D0%BF%D0%BE%D0%BB%D0%B5%D0%B7%D0%BD%D1%8B%D0%B5-%D0%BC%D0%B0%D1%82%D0%B5%D1%80%D0%B8%D0%B0%D0%BB%D1%8B/%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C-%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BA%D0%B8-%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2-%D0%B2-%D0%BA%D0%BE%D0%BC%D0%BF%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%B5-adsmanager
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
- 2024-01-25 » Переменные Gitlab-Ci
- 2024-01-25 » Настройка CI/CD в GitLab для синхронизации проекта с веб-серверами
- 2024-01-25 » Копирование файлов scp
- 2024-01-18 » Современная обработка ошибок в PHP
- 2024-01-18 » Пример шаблона проектирования MVC в PHP
- 2024-01-18 » Мифический человеко-DevOps
- 2023-12-28 » Google подвел итоги 2023 года в поиске
- 2023-12-28 » 5 ошибок отдела продаж, из-за которых вы теряете клиентов
- 2023-12-28 » Американский суд признал монополию Google на рынках дистрибуции Android-приложений
- 2023-12-28 » Хостинг-провайдер GoDaddy перестанет оказывать услуги пользователям из России
- 2023-12-28 » ТОП-5 методов юзабилити-исследований. Разбор слабых и сильных сторон
Несчастен тот человек, у которого есть любимый ресторан и нет любимого автора. Он нашел любимое место, где можно накормить тело, но не нашел любимого места, где можно накормить свой ум Рон Джим - выдающийся американский бизнес-тренер и мотиватор, разрабатывал стратегию работы компаний I.B.M., Coca-Cola, Xerox, General Motors и др. |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.