Советы по безопасности во время работы с MODX


Суббота, Май 6, 2017

Хотя CMF MODX считается весьма безопасной системой работой для разработки сайтов и управлением контентом, в ней всё таки есть дыры, которые уже давно известны сообществу, но по тем или иным причинам всё ещё находятся в системе. В статье я собрал те дыры, которые встретил сам, что бы вы не сталкивались с ними, или же просто знали, как с ними бороться.  На основе уязвимостей я коротенечко от себя написал простые советы по безопасности работы с CMF MODX.

1. Возможность загрузки файла любого расширения

Несмотря на то, что в системе уже есть ограничение на расширения файлов, существует небольшая особенность, которая, к счастью разработчиков наконец-то была замечена и устранена разработчиками системы. До версии MODX Revolution 2.5.6 была возможность менять разрешения файлов прямо в системе. Так что ограничения на загрузку тех или иных разрешений файлов были бесполезны. Нужно загрузить запрещённый формат? Переводишь в txt и загружаешь! Потом меняя разрешение уже в системе.
Такой вот простой обход ограничений. К счастью наконец-то, такая возможность была убрана. Так, что если у вас старая версия системы, то обновитесь - и дыра будет закрыта.


2. Использование компонента Sendex злоумышлениками для рассылки спама

Зачастую на сайте требуется организовать подписку на новости. В MODX одним из популярных компонентов для решения данной задачи является Sendex.
К сожалению, в ходе опыта работы с компонентом выяснилось, что именно он повинен в рассылке спама с одного из наших сайтов. И здесь дело не в неприязни или неуважении к автору компонента (к Безумкину любой уважающий себя разработчик на MODX будет относиться, как минимум уважительно). При сопоставлении практической пользы от email рассылок и перспективы поймать запрет на передачу писем с нашего крупного интернет-магазина от хостинга, мы выбрали безопасность и стабильность работы всего сайта. От компонента пришлось отказаться. В точных причинах, как именно его используют злоумышленники мы с коллегами так и не разобрались, но по логам доступа было видно, что только по тем адресам, которые были привязаны для рассылки отправляются письма. Рекомендую решать задачу рассылки с сайта, каким-нибудь другим компонентом.

3. Проблемы с подбором префикса злоумышленниками для полного доступа к базе данных

Серьёзная дыра MODX заключается в том, что если злоумышленник знает префикс таблицы базы данных вашего сайта, то он может получить полный контроль на сайтом. А это очень серьёзная проблема, которая пока не решена разработчиками. Что бы не углубляться в дебри, которые уже достаточно освещены в сообществе разработчиков напишу только рекомендации, как не дать произойти взломувашего сайта.

  1. При установке сайта используйте нестандартный префикс базы данных содержищий в себе большое количество символов, чисел, больших и малых букв. 
  2. Папка connectors должна быть названа нестандартно. Обязательно переименуйте её, и не забудьте указать новое имя в файле с путями на сайте.
  3. Папка core должна находиться вне папки public_html. Об этом постоянно предупреждает сама система. Так же стоит ознакомиться с ссылками, которые указаны в предупреждении. Они позволяют "закалить" ваш MODX.

Безопасность MODX Revolution

В вопросах безопасности всегда нужно быть уверенным на все 100%. Безопасность MODX Revolution находится на хорошем уровне, однако эти простые рекомендации, позволят вам закрыть часть изъянов в обороне системы и сделать ваш сайт ещё более безопасным.