1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

Через elasticsearch можно взломать сервер

Тема в разделе "OFF-топик", создана пользователем Union, 14.07.2014.

Загрузка
  1. Union

    Union Местный

    Регистрация:
    12.10.11
    Сообщения:
    306
    Симпатии:
    86
    Версия XF:
    1.1.2
  2. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    829
    Версия XF:
    1.3.2
    Я думаю, что через всё можно взломать сервер. Не только через Elastic. Особенно, если если это "все" неверно настроено.
     
  3. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5 739
    Симпатии:
    5 289
    Версия XF:
    1.5.15
    Вот только причем тут раздел багов XenForo?
     
    Kolya groza morey нравится это.
  4. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    Это всего лишь одна капля в океане, http://www.cvedetails.com/ - это только то что опубликовано и то это не всё из опубликованного.
    Может стоит воспользоваться услугами https://www.cloudflare.com/ , у них есть довольно привлекательные услуги, правда счастье такое будет стоит от 20$ и выше в месяц( зависит от того какие опции Вы подключите ), ну а по сути спасёт бэкап, последующий анализ логов и исправление ошибок.
     
  5. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 162
    Версия XF:
    1.0.4
    @Union, по идее через стенку должны быть доступны только те сервисы, которые должны быть видимы извне, а эластик к таковым не относится (только локалхост)
     
  6. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    829
    Версия XF:
    1.3.2
    Там дело, видимо, в возможности вместе с поисковым запросом отправить в Elastic скрипт. Для этого не нужно иметь возможность подключаться к Elastic локально.
     
  7. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 162
    Версия XF:
    1.0.4
    @FractalizeR, ну я бегло посмотрел старый Enhanced Search - там есть предобработка запроса и по идее нельзя сделать запрос с выполенением скрипта. Хотя смотрел только бегло и сказать на 100% не могу.
    Но как мне кажется эластик попросту был виден извне (настройка по умолчанию).
     
  8. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    829
    Версия XF:
    1.3.2
    Да, скорее всего, так и было.
     

Поделиться этой страницей