Форум » Система построения сайтов » Защита системы » Сайт блокируется при установке скрипта чата
Открыть Ответить

Сайт блокируется при установке скрипта чата

12.11.2015 12:52:13 12.11.2015 12:58:14

на сайт под ОпенСлаед нужно установить чат типа живосайт.

Инструкции там простые.
вставить код

<script type='text/javascript'>
(function(){ var widget_id = '4WlQmbfEUx';
var s = document.createElement('script'); 
s.type = 'text/javascript'; s.async = true; 
s.src = '//code.jivosite.com/script/widget/'+widget_id;
 var ss = document.getElementsByTagName('script')[0]; 
ss.parentNode.insertBefore(s, ss);})();</script>

перед </body>

Ошибка в следующем:
При запуске сайт блокируется с сообщением попытка взлома и не пускает ни на сайт ни в админку.
Как это обойти?

Open SLAED 1.*
5
Сервер в интернете
olevpa
olevpa
4.02

4.02

  1. Проверьте лог файлы безопасности, что пишет туда система?
  2. Попробуйте подключить этот скрипт отдельным файлом.

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
SLAED CMS
SLAED CMS
3.25

3.25

13.11.2015 18:43:30 13.11.2015 18:44:22

  1. Проверьте лог файлы безопасности, что пишет туда система?
  2. Попробуйте подключить этот скрипт отдельным файлом.



в логе:
Попытка взлома: URL in COOKIE - jv_refer_4WlQmbfEUx = http://pallada-tour.ru/admin.php?op=module
IP Адрес: 81.4.243.164
Пользователь: Guest
Ссылка: /contact.html
Браузер: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Дата размещения: 12.11.15 - 13:31:49
---
Попытка взлома: URL in COOKIE - jv_refer_4WlQmbfEUx = http://pallada-tour.ru/admin.php?op=module
IP Адрес: 81.4.243.164
Пользователь: Guest
Ссылка: /content.html
Браузер: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Дата размещения: 12.11.15 - 13:31:57
и т.д...

Отдельным файлом имеется ввиду через блоки добавить новый файл или в index.php прописать инклюд?

Open SLAED 1.*
olevpa
olevpa
4.02

4.02

13.11.2015 19:04:59 13.11.2015 19:06:02

Возможно что скрипт генерирует данные Cookies на Вашем компьютере...

Очистить Cookies браузера не пробовали?
Как реагирует система при использовании других браузеров?

Создайте отдельный файл, к примеру file.js с соответствующим кодом. Далее, можно непосредственно в index.html файле Вашей темы подключить данный файл.

Перед: </head>
По типу: <script src="plugins/system/file.js"></script>


О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
SLAED CMS
SLAED CMS
3.25

3.25

Возможно что скрипт генерирует данные Cookies на Вашем компьютере...

Очистить Cookies браузера не пробовали?
Как реагирует система при использовании других браузеров?

Создайте отдельный файл, к примеру file.js с соответствующим кодом. Далее, можно непосредственно в index.html файле Вашей темы подключить данный файл.

Перед: </head>
По типу: <script src="plugins/system/file.js"></script>



пробовал хром и оперу.
в хроме использовал обычный режим и режим инкогнито.

прописал файл в хеаде, и перед боди. В обоих случаях чат не запустился. путь в скрипте прописан корректно

olevpa
olevpa
4.02

4.02

Попробуйте в файле темы оформления, как описано выше вставить код перед </body>

Проблема с безопасностью осталась?


О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
SLAED CMS
SLAED CMS
3.25

3.25

Попробуйте в файле темы оформления, как описано выше вставить код перед </body>

Проблема с безопасностью осталась?



Удалил скрипт подключения файла, добавил код перед /боди.

Обновил страницу: попытка взлома.

Open SLAED 1.*
olevpa
olevpa
4.02

4.02

14.11.2015 17:55:46 14.11.2015 17:57:06

В таком случае следует отключить проверку URL в Cookies, в функции безопасности.

Откройте файл: function/security.php
За комментируйте данный участок, строка 250, код:

if (preg_match("#^(http\:\/\/|ftp\:\/\/|\/\/|https:\/\/|php:\/\/|\/\/)#i", $var_value)) hack_report("URL in COOKIE - ".$var_name." = ". $var_value);


О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
SLAED CMS
SLAED CMS
3.25

3.25

закоментировал. вроде работает.

Спасибо.

Чем грозит данное послабление безопасности?

Open SLAED 1.*
olevpa
olevpa
4.02

4.02

15.11.2015 15:53:29 15.11.2015 15:55:17

Система проверяет содержание Cookies на присутствие в них ссылок. В принципе снижение уровня безопасности незначительное и критическим не является. Это больше теоретическая возможность взлома чем практическая. За последние 10 лет успешных попыток взлома через данную возможность не наблюдалось.


О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
SLAED CMS
SLAED CMS
3.25

3.25

Всего: 11 на 2 страницах по 10 на каждой странице

1 2
Открыть Ответить

Хотите опробовать SLAED CMS в действии?

Идеи и предложения
Обратная связь