Чтение RSS каналов

Форум

Открыть Ответить

Сайт блокируется при установке скрипта чата

0

0
1
12.11.2015 12:52:1312.11.2015 12:58:14
на сайт под ОпенСлаед нужно установить чат типа живосайт.

Инструкции там простые.
вставить код

<script type='text/javascript'>
(function(){ var widget_id = '4WlQmbfEUx';
var s = document.createElement('script'); 
s.type = 'text/javascript'; s.async = true; 
s.src = '//code.jivosite.com/script/widget/'+widget_id;
 var ss = document.getElementsByTagName('script')[0]; 
ss.parentNode.insertBefore(s, ss);})();</script>

перед </body>

Ошибка в следующем:
При запуске сайт блокируется с сообщением попытка взлома и не пускает ни на сайт ни в админку.
Как это обойти?


Версия системы: Open SLAED 1.*
Версия PHP: 5
Сервер: Сервер в интернете
4.45

4.45
2
13.11.2015 17:26:55
1. Проверьте лог файлы безопасности, что пишет туда система?
2. Попробуйте подключить этот скрипт отдельным файлом.

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
3.20

3.20
3
13.11.2015 18:43:3013.11.2015 18:44:22

1. Проверьте лог файлы безопасности, что пишет туда система?
2. Попробуйте подключить этот скрипт отдельным файлом.



в логе:
Попытка взлома: URL in COOKIE - jv_refer_4WlQmbfEUx = http://pallada-tour.ru/admin.php?op=module
IP Адрес: 81.4.243.164
Пользователь: Guest
Ссылка: /contact.html
Браузер: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Дата размещения: 12.11.15 - 13:31:49
---
Попытка взлома: URL in COOKIE - jv_refer_4WlQmbfEUx = http://pallada-tour.ru/admin.php?op=module
IP Адрес: 81.4.243.164
Пользователь: Guest
Ссылка: /content.html
Браузер: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Дата размещения: 12.11.15 - 13:31:57
и т.д...

Отдельным файлом имеется ввиду через блоки добавить новый файл или в index.php прописать инклюд?


Версия системы: Open SLAED 1.*
4.45

4.45
4
13.11.2015 19:04:5913.11.2015 19:06:02
Возможно что скрипт генерирует данные Cookies на Вашем компьютере...

Очистить Cookies браузера не пробовали?
Как реагирует система при использовании других браузеров?

Создайте отдельный файл, к примеру file.js с соответствующим кодом. Далее, можно непосредственно в index.html файле Вашей темы подключить данный файл.

Перед: </head>
По типу: <script src="plugins/system/file.js"></script>

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
3.20

3.20
5
13.11.2015 22:25:05

Возможно что скрипт генерирует данные Cookies на Вашем компьютере...

Очистить Cookies браузера не пробовали?
Как реагирует система при использовании других браузеров?

Создайте отдельный файл, к примеру file.js с соответствующим кодом. Далее, можно непосредственно в index.html файле Вашей темы подключить данный файл.

Перед: </head>
По типу: <script src="plugins/system/file.js"></script>



пробовал хром и оперу.
в хроме использовал обычный режим и режим инкогнито.

прописал файл в хеаде, и перед боди. В обоих случаях чат не запустился. путь в скрипте прописан корректно
4.45

4.45
6
14.11.2015 11:24:39
Попробуйте в файле темы оформления, как описано выше вставить код перед </body>

Проблема с безопасностью осталась?

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
3.20

3.20
7
14.11.2015 15:18:47

Попробуйте в файле темы оформления, как описано выше вставить код перед </body>

Проблема с безопасностью осталась?



Удалил скрипт подключения файла, добавил код перед /боди.

Обновил страницу: попытка взлома.


Версия системы: Open SLAED 1.*
4.45

4.45
8
14.11.2015 17:55:4614.11.2015 17:57:06
В таком случае следует отключить проверку URL в Cookies, в функции безопасности.

Откройте файл: function/security.php
За комментируйте данный участок, строка 250, код:
if (preg_match("#^(http\:\/\/|ftp\:\/\/|\/\/|https:\/\/|php:\/\/|\/\/)#i", $var_value)) hack_report("URL in COOKIE - ".$var_name." = ". $var_value);

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
3.20

3.20
9
14.11.2015 19:13:38
закоментировал. вроде работает.

Спасибо.

Чем грозит данное послабление безопасности?


Версия системы: Open SLAED 1.*
4.45

4.45
10
15.11.2015 15:53:2915.11.2015 15:55:17
Система проверяет содержание Cookies на присутствие в них ссылок. В принципе снижение уровня безопасности незначительное и критическим не является. Это больше теоретическая возможность взлома чем практическая. За последние 10 лет успешных попыток взлома через данную возможность не наблюдалось.

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
3.20

3.20
Открыть Ответить
widgetсистемыпередследующемблокируетсяdocumentзащитаparentnodegetelementsbytagnameошибказапускенужносайтscriptinsertbefore
Хотите опробовать SLAED CMS в действии?

Технологии

PHP MySQL HTML 5 CSS 3 jQuery jQuery UI

Контакты

  • D-49179, Deutschland
    Ostercappeln, Im Siek 6
  • +49 176 61966679

  • https://slaed.net
Идеи и предложения
Обратная связь