1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

Сброс пароля и капча

Тема в разделе "Основные вопросы по XenForo", создана пользователем cyberdaemon, 30.06.2011.

Загрузка
  1. cyberdaemon

    cyberdaemon Местный

    Регистрация:
    08.10.10
    Сообщения:
    41
    Симпатии:
    23
    Как бы интересует - реально такое организовать стандартным функционалом или необходимо городить отдельно? Грабли получаются конкретные - как раз сегодня получил на админскую почту 360 уведомлений о попытке сброса, после чего и озадачился.
     
  2. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5 746
    Симпатии:
    5 311
    Версия XF:
    1.5.18
    Разработчики в курсе уже ;)
    Возможно в 1.0.3 появится. Ну или в 1.1.
     
    cyberdaemon нравится это.
  3. cyberdaemon

    cyberdaemon Местный

    Регистрация:
    08.10.10
    Сообщения:
    41
    Симпатии:
    23
    Пока они там в курс входят, у меня уже почту начинает заваливать и exim жалобно попискивает. Есть вариант глухануть на время систему сброса пароля? Ссылку убрать не проблема, ток в моём случае не прокатит ибо всяко не вручную шлют по 500 уже post запросов к ряду. Если б хоть видеть IP шлющего запросы - давно б глуханул в iptables.
     
  4. TAIFUN

    TAIFUN Человек

    Регистрация:
    27.09.10
    Сообщения:
    2 258
    Симпатии:
    1 613
    Версия XF:
    1.5.23
    Можешь поиграться временно с файлом /library/XenForo/ControllerPublic/LostPassword.php вплоть до его удаления/переименования на время.
     
    cyberdaemon нравится это.
  5. cyberdaemon

    cyberdaemon Местный

    Регистрация:
    08.10.10
    Сообщения:
    41
    Симпатии:
    23
    Спасибо, а то я задрался уже блокировать урода - я уже и по маске рублю, он только прокси меняет и дальше лупит тварь.

    Вроде отвалился. Сайтик геморойный, мягко говоря, так что будем ждать новых проявлений.
     
  6. arelav

    arelav Местный

    Регистрация:
    07.06.11
    Сообщения:
    166
    Симпатии:
    355
    Версия XF:
    1.1.0 Final
    здесь где-то аддон мелькал запрета регистрации через прокси сервера... я его не ставил еще, но принял к сведению, что он есть...
     
  7. blindoracledm

    blindoracledm Тролль

    Регистрация:
    30.06.11
    Сообщения:
    30
    Симпатии:
    2
    а капча не помогает что ли?
     
  8. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5 746
    Симпатии:
    5 311
    Версия XF:
    1.5.18
    Там как раз нет капчи. Это в общем-то недоработка, о которой разработчики уже оповещены.
     
  9. cyberdaemon

    cyberdaemon Местный

    Регистрация:
    08.10.10
    Сообщения:
    41
    Симпатии:
    23
    Это даже не недоработка, а натуральная дыра при грамотном использовании которой (например долбить не с одного, а с пары десятков IP одновременно) свободно можно вывести любой сервак за лимиты трафика + если ещё и почта на которую шлются уведомления не существует/либо на другом тормознутом сервере то пойдёт разбухать очередь отправки - как следствие подскочет LA. В моём случае пошло только забивание почтового акка уведомлениями, по сути без последствий (почта админская на том же сервере находится, так что трафик толком не подскочил).

    Для желающих полюбоваться на следствие этой недоработочки -

    [​IMG]

    На графике 2 попытки юзанья данной дыры, долбилось с 1го IP (по мере блокировки IP менялся, и менялся довольно оперативно, судя по всему уже написан скрипт специально на данный баг с перебором проксей).

    Пы.Сы. Разработчиков ткнуть бы носом в этот график, я думаю фикс бы на много быстрее появился.
     
    Romchik® нравится это.
  10. CyberAP

    CyberAP Местный

    Регистрация:
    05.10.10
    Сообщения:
    2 604
    Симпатии:
    1 660
    Версия XF:
    1.5.10
    Об XSS подумали, а про защиту от дураков забыли :)
     
    cyberdaemon нравится это.
  11. cyberdaemon

    cyberdaemon Местный

    Регистрация:
    08.10.10
    Сообщения:
    41
    Симпатии:
    23
    Ну да - тупизм ситуации поражает.
     
  12. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    кстати этот вопрос до этого момента никто не поднимал на офф.форуме.
    видать все-таки менталитет там у людей немного другой - нафик кому то просто так гадить чужому ресурсу, заддосить чтобы убрать конкурента - да, это везде есть, но это не зависит от движка.
    Но вот просто нагадить кому-то потратив свои силы и время без какого либо действенного результата впервые почему-то вылезло только у наших пользователей :) (ведь сломать так ничего не получится)
     
  13. cyberdaemon

    cyberdaemon Местный

    Регистрация:
    08.10.10
    Сообщения:
    41
    Симпатии:
    23
    Yoskaldyr, знаешь, а по смыслу данное действие можно в принципе классифицировать как DDOS (вся разница в постановке вопроса) ибо как я уже писал выше, можно запросто вызвать нехватку ресурсов (при определённых условиях разумеется) а это собственно по определению должно быть результатом DDOS атаки.

    Что касаемо "нагадить чужому ресурсу" так лично я был готов к такому повороту событий, я даже отчасти готов, по крайней мере морально, даже к угрозам физической расправы ибо тема ресурса на столько болезненна, что и данный расклад событий исключать не приходится. Ну и собственно нет худа без добра - обнаружили дыру, точнее как при помощи её могут нагадить и воочию в этом убедились (даже симулировать ситуацию не пришлось).
     
  14. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    Просто это не совсем дыра, баг - да (и кстати не настолько критичный), но определенно не дыра, через которую можно получить какой-то доступ или еще что-то.
    А насчет нехватки ресурсов - это ведь проблема хостинга (где хостер за перегрузку отключает) - ее можно вызвать и простым запуском теста ab на главной странице (или поискать что-то потяжелее).
     
    CyberAP нравится это.
  15. cyberdaemon

    cyberdaemon Местный

    Регистрация:
    08.10.10
    Сообщения:
    41
    Симпатии:
    23
    А всё на много проще, зачем кому то кого то отключать!?, можно просто через этот баг поднять LA сервера на столько, что сервак банально отвечать перестанет (потому и сравнил с DDOS). Не забывай - запрос в базу идёт при данном раскладе и почтовая очередь разбухает (и только не надо на тему перенастройки всего сервера с учётом данного бага - это будет выглядеть на уровне паранойи).

    Представь тупой ситуэйшн - админчег решил не заморачиваться с почтовым адресом в своём профиле и прописал что то по типу ghfhgjhfk@gjkfhjkd.ru, ну и каков будет результат при долблении данного бага скриптом? А если с нескольких IP? А если с каждого в несколько потоков? (у меня например лимит подключений выставлен, а у кого то нет). Я бы поржал над воплями почтового сервера, да и впрочем всей машины в целом!
     
  16. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    Я немного не о том говорил. Да это баг. Но только он облегчает устраивать DDoS на сервер и все. Аналогичный DDoS можно устроить и обычными обращениями к главной странице - и LA будет точно такой же.
    Ну это уже проблема админа, но никак не скрипта. Т.к. все-таки указывать правильную почту довольно полезно, учитывая что на нее уведомления для админа приходят.
    нормальному почтовому серверу такие объемы вообще глубоко пофик, ну забьется немного диск и все (учитывая объемы дисков сейчас, это будет не принципиально), на отправку не сильно скажется, т.к. отправляется все через очередь.
    Но вот все остальное к баге не относится (нагрузка и работа сервера в целом) - несколько потоков, несколько ип - это классический DDoS - и к баге, как таковой не относится, т.е. его можно сделать на любую страницу - результат с точки зрения сервера будет аналогичным (можно найти страницы даже более тяжелые чем отправка пароля для восстановления). А вот с точки зрения пользователя - да, DDoS этой страницы будет более раздражающим - это факт - никому не понравится куча почты в своем ящике.

    Я же согласился, что да - это можно назвать багом (хотя больше недоработка защиты от дурака), но только потому что разработчики не рассчитывали на наших идиотов (ведь первые кто это сделал - были наши "творческие личности"). Нормально настроенный сервак при использовании этой недоработки не ляжет, но вот раздражения пользователям принесет порядочно.
     
  17. Alex Gludo

    Alex Gludo Bazinga!

    Регистрация:
    24.01.11
    Сообщения:
    484
    Симпатии:
    293
    Было тоже самое - ооочень много нотисов о сбросе пароля.
    Прикрыл с помощью fail2ban
    Правда это годится только тем, у кого хостинг на собственном сервере.

    Часть jail.conf
    Код:
    ...
    banaction = iptables-multiport-log
    ...
    [reset-password]
    
    enabled = true
    port    = http
    filter  = reset-password
    logpath = /ПУТЬ_К_ЛОГАМ_ХОСТА/access.log
    maxretry = 2
    Файл фильтра reset-password.conf
    Код:
    [Definition]
    
    # Option:  failregex
    # Notes.:  Regexp to catch Apache overflow attempts.
    # Values:  TEXT
    #
    failregex = <HOST> .* .* .*lost-password/lost.*
    
    # Option:  ignoreregex
    # Notes.:  regex to ignore. If this regex matches, the line is ignored.
    # Values:  TEXT
    #
    ignoreregex =
     
    cyberdaemon нравится это.
  18. cyberdaemon

    cyberdaemon Местный

    Регистрация:
    08.10.10
    Сообщения:
    41
    Симпатии:
    23
    Ну ещё это так же годится только тем, кто логи доступа ведёт.
     

Поделиться этой страницей