Евгений Борисов

Евгений Борисов

Был в сети 06 июня 2026, 05:32
Заказы принимаю
So please, if you have any details or proof of concepts of attacks, please email those to security@modx.com so we can make MODX safer and release an update soon.
Вам уже даже пример показали. А вы все понять не можете…

Thanks to help from people like Nikolay and Bezumkin we've found and fixed some issues
Очень жаль, что Николаю выражается благодарность за то, что он развел троллинг со сменой префиксов. Если бы все согласились сего исправлением — дырка бы так и осталась в ядре. Так за что спасибо то?)
Не хочу ругаться, но не понимаю такого отношения.
Чего не понимаешь? Почему я им не написал. Ну да, бяка я. С 2014 года мне ничего не остается, кроме как стебаться…

Хотя кто-то, а ты должен знать всю истории и понимать, почему я им принципиально ничего не сообщаю.
безопасность системы никак не коррелирует с её популярностью и распространением в мире. Примеры: Wordpress и Joomla.
Кстати, сегодняшнее заявление официально подверждает, что можно тоннами слать баги по каждому компоненту на exploit-db (как это делается для Joomla и WordPress). Если решиться, то думаю всего за 1 день +100 пунктов наберем и убьем всю схему монетизации MODX. Останется сравнивать уже только популярность, т.к. безопасность будет на одном уровне по числу публичных дырок.

Так что осталось только дождаться сигнала к действию. Чтобы это стало началом конца.
Нет, Коленька, получается по другому. Ты опять пытаешься смешать одно и другое. Вот 2 причины, почему я после ооооочень длительного перерыва все-таки вышел на диалог с сообществом.

Причина 1
Ты приходишь и начинаешь обосновывать стоимость офигенным качеством. А им там даже не пахнет. Как уже выше говорили — большинство твоих компонентов так и находится в статусе beta. Часть из них с дырками, которых нет в других компонентах. Я понимаю, что тебе хочется верить в свою охрененность. Но когда эта вера начинает зашкаливать и ты заявляешь, что даже консультировал меня — это уже перебор. Даже если мы и обсуждали смену контекстов — то это никак не консультация, а диалог. Более того, этот диалог закончился ничем.

Причина 2
То, что ты нашел дырку в ядре — молодец. Но решение предложенное тобой — нифига не решение. Да, +1 к безопасности добавляет. Но не более. Меня просто возмутило то, что ты людей вводишь в заблуждение.

P.S. Я изначально знал, что диалог с тобой бесполезен. Поэтому шел сюда в первую очередь донести информацию не до тебя, а до общественности. И судя по рейтингам комментариев у меня это получилось. Так что на этом моя миссия выполнена.

Тема консультаций раскрыта
О чем я и говорю, что у тебя на любой недочет всегда есть отмазка. Но когда все эти недочеты собираются воедино и получается трололо — то по твоей логике виноват уже не тот, кто пишет криво. Удобно!

Но тон надо поправить или вообще молчать. А то выглядит как спор вояки и архитектора
Хорошо, господин главнокоманндующий. Пойду дальше свои здания строить, а то еще закидаешь фекалиями.
История с LiveStreat тебя ничему не научила. Там тоже у тебя были виноваты все кроме modLiveStreat: MODX, что теги не фильтрует и LiveStreat, что пропускает маршрутизацию. А по факту, то именно ты точку входа там организовал.

В modImporter точку входа ты сам организовал assets\components\modimporter\connectors\connector.php. Но коли она тебе не видна, это еще не значит, что ее там нет.
Я вас может быть немного разочарую. Но
— при массовых взломах насколько мне известно запросы идут сразу на уязвимый сценарий. — Попытки найти админку бывают из любопытства.
— Определение CMS по сигнатурам это только если сайт действительно интересен. Коли это так, то спрятать все сигнатуры довольно сложно. Особенно если сайт чекается руками, а не через 2ip

Так что небольшой профит в получите. Возможно даже узнаете об уязвимостях в других CMS таким способом. Но полагаться на подобную защиту нет смысла.