1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

Через elasticsearch можно взломать сервер

Тема в разделе "OFF-топик", создана пользователем Union, 14 июл 2014.

Загрузка
  1. Union

    Union Местный

    Регистрация:
    12.10.11
    Сообщения:
    307
    Симпатии:
    87
    Версия XF:
    1.1.2
  2. FractalizeR

    FractalizeR XenForo Addicted Команда форума

    Регистрация:
    27.09.10
    Сообщения:
    1.085
    Симпатии:
    822
    Версия XF:
    1.3.2
    Я думаю, что через всё можно взломать сервер. Не только через Elastic. Особенно, если если это "все" неверно настроено.
     
  3. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5.736
    Симпатии:
    5.263
    Версия XF:
    1.5.10
    Вот только причем тут раздел багов XenForo?
     
    Kolya groza morey нравится это.
  4. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    Это всего лишь одна капля в океане, http://www.cvedetails.com/ - это только то что опубликовано и то это не всё из опубликованного.
    Может стоит воспользоваться услугами https://www.cloudflare.com/ , у них есть довольно привлекательные услуги, правда счастье такое будет стоит от 20$ и выше в месяц( зависит от того какие опции Вы подключите ), ну а по сути спасёт бэкап, последующий анализ логов и исправление ошибок.
     
  5. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.919
    Симпатии:
    1.154
    Версия XF:
    1.0.4
    @Union, по идее через стенку должны быть доступны только те сервисы, которые должны быть видимы извне, а эластик к таковым не относится (только локалхост)
     
  6. FractalizeR

    FractalizeR XenForo Addicted Команда форума

    Регистрация:
    27.09.10
    Сообщения:
    1.085
    Симпатии:
    822
    Версия XF:
    1.3.2
    Там дело, видимо, в возможности вместе с поисковым запросом отправить в Elastic скрипт. Для этого не нужно иметь возможность подключаться к Elastic локально.
     
  7. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.919
    Симпатии:
    1.154
    Версия XF:
    1.0.4
    @FractalizeR, ну я бегло посмотрел старый Enhanced Search - там есть предобработка запроса и по идее нельзя сделать запрос с выполенением скрипта. Хотя смотрел только бегло и сказать на 100% не могу.
    Но как мне кажется эластик попросту был виден извне (настройка по умолчанию).
     
  8. FractalizeR

    FractalizeR XenForo Addicted Команда форума

    Регистрация:
    27.09.10
    Сообщения:
    1.085
    Симпатии:
    822
    Версия XF:
    1.3.2
    Да, скорее всего, так и было.
     

Поделиться этой страницей