14 ноября 2016, 17:26 P.P.S: Может каждому в репу дать по 100+?На хабре за подобные предложения бан дают))) Безопасность / Критическая уязвимость в MODX Revolution 340 +1
14 ноября 2016, 17:24 Один умный человек положил в компонент Evogallery тестовый файл uploadify.php. Этот файл позволяет любому пользователю загружать любую информацию на сервере. В более поздних версиях EvoGallery файл был удален, но т.к. большинство обновляют движки перезаписью файлов — файл так и остался не затронутым. И только сейчас додумались сделать так. К слову, рядом с uploadify.php должен быть еще один файл, который позволяет получать список файлов в папках на сервере. Так же без всякой авторизации. Безопасность / Критическая уязвимость в MODX Revolution 340 +5
14 ноября 2016, 17:21 Как минимум, у меня в планах следующее: — Аудит modhost.pro/ — Проверка компонентов (хотя бы из modstore.pro) А потом уже может быть я напишу на security@modx.com Безопасность / Критическая уязвимость в MODX Revolution 340 +10
14 ноября 2016, 13:24 So please, if you have any details or proof of concepts of attacks, please email those to security@modx.com so we can make MODX safer and release an update soon.Вам уже даже пример показали. А вы все понять не можете… Thanks to help from people like Nikolay and Bezumkin we've found and fixed some issuesОчень жаль, что Николаю выражается благодарность за то, что он развел троллинг со сменой префиксов. Если бы все согласились сего исправлением — дырка бы так и осталась в ядре. Так за что спасибо то?) Безопасность / Критическая уязвимость в MODX Revolution 340 +7
13 ноября 2016, 20:04 Не хочу ругаться, но не понимаю такого отношения.Чего не понимаешь? Почему я им не написал. Ну да, бяка я. С 2014 года мне ничего не остается, кроме как стебаться… Хотя кто-то, а ты должен знать всю истории и понимать, почему я им принципиально ничего не сообщаю. Безопасность / Потенциальная уязвимость при получении объекта xPDO 28 0
13 ноября 2016, 19:21 Конца света не будет. Расходимся))) Безопасность / Потенциальная уязвимость при получении объекта xPDO 28 +7
13 ноября 2016, 19:19 Уже удалили. Безопасность / Потенциальная уязвимость при получении объекта xPDO 28 0
13 ноября 2016, 12:43 безопасность системы никак не коррелирует с её популярностью и распространением в мире. Примеры: Wordpress и Joomla.Кстати, сегодняшнее заявление официально подверждает, что можно тоннами слать баги по каждому компоненту на exploit-db (как это делается для Joomla и WordPress). Если решиться, то думаю всего за 1 день +100 пунктов наберем и убьем всю схему монетизации MODX. Останется сравнивать уже только популярность, т.к. безопасность будет на одном уровне по числу публичных дырок. Так что осталось только дождаться сигнала к действию. Чтобы это стало началом конца. Безопасность / Потенциальная уязвимость при получении объекта xPDO 28 +1
13 ноября 2016, 12:27 Вот и официальное подтверждение того, что я понял 2 года назад — MODX наше все. Кто не согласен — сам дурак. Безопасность / Потенциальная уязвимость при получении объекта xPDO 28 +13
12 ноября 2016, 14:27 Я считаю, что до тех пор, пока при запросе $modx->getObject('modResource') можно будет получить объект modUsers, тема будет не закрыта. Безопасность / Критическая уязвимость в MODX Revolution 340 +1
12 ноября 2016, 14:26 Нужно было через POST работать;-) А вообще, давно известно, что Василий в отличии от Философа активно курит логи. Поэтому площадку для демонстрации нужно было выбирать не modx.pro;-) Безопасность / Критическая уязвимость в MODX Revolution 340 +1
10 ноября 2016, 12:46 Нет, Коленька, получается по другому. Ты опять пытаешься смешать одно и другое. Вот 2 причины, почему я после ооооочень длительного перерыва все-таки вышел на диалог с сообществом. Причина 1 Ты приходишь и начинаешь обосновывать стоимость офигенным качеством. А им там даже не пахнет. Как уже выше говорили — большинство твоих компонентов так и находится в статусе beta. Часть из них с дырками, которых нет в других компонентах. Я понимаю, что тебе хочется верить в свою охрененность. Но когда эта вера начинает зашкаливать и ты заявляешь, что даже консультировал меня — это уже перебор. Даже если мы и обсуждали смену контекстов — то это никак не консультация, а диалог. Более того, этот диалог закончился ничем. Причина 2 То, что ты нашел дырку в ядре — молодец. Но решение предложенное тобой — нифига не решение. Да, +1 к безопасности добавляет. Но не более. Меня просто возмутило то, что ты людей вводишь в заблуждение. P.S. Я изначально знал, что диалог с тобой бесполезен. Поэтому шел сюда в первую очередь донести информацию не до тебя, а до общественности. И судя по рейтингам комментариев у меня это получилось. Так что на этом моя миссия выполнена. Тема консультаций раскрыта Готовые решения / modMonitor. Порассуждаем о стоимости компонентов? 152 +7
10 ноября 2016, 12:14 О чем я и говорю, что у тебя на любой недочет всегда есть отмазка. Но когда все эти недочеты собираются воедино и получается трололо — то по твоей логике виноват уже не тот, кто пишет криво. Удобно! Но тон надо поправить или вообще молчать. А то выглядит как спор вояки и архитектораХорошо, господин главнокоманндующий. Пойду дальше свои здания строить, а то еще закидаешь фекалиями. Готовые решения / modMonitor. Порассуждаем о стоимости компонентов? 152 +4
10 ноября 2016, 11:47 У тебя видимо совсем туго с юмором. Но знаешь, когда для человека расширение системных процессоров с отключением проверки уровень доступа это норма, то да — во многих компонентах можно найти дыры. Даже тот же modLiveStreat делает все правильно: и просто modx не умеет этот код готовить… Готовые решения / modMonitor. Порассуждаем о стоимости компонентов? 152 +4
10 ноября 2016, 10:40 Я даже не сомневался в подобной реакции. Странно, что во многих других компонентах этой баги нет. Видимо в ядре modx заложена проверка на автора. Готовые решения / modMonitor. Порассуждаем о стоимости компонентов? 152 +3
10 ноября 2016, 08:51 История с LiveStreat тебя ничему не научила. Там тоже у тебя были виноваты все кроме modLiveStreat: MODX, что теги не фильтрует и LiveStreat, что пропускает маршрутизацию. А по факту, то именно ты точку входа там организовал. В modImporter точку входа ты сам организовал assets\components\modimporter\connectors\connector.php. Но коли она тебе не видна, это еще не значит, что ее там нет. Готовые решения / modMonitor. Порассуждаем о стоимости компонентов? 152 +5
10 ноября 2016, 08:26 По моему я достаточно четко обозначил где проблема. Разве нет? Готовые решения / modMonitor. Порассуждаем о стоимости компонентов? 152 +1
09 ноября 2016, 22:40 И в отзывах к modImporter и switchUser положительно отзываются и по качеству компонентовДырявый у тебя modImporter. Для примера, P.A.S. можно бесплатно скачать. И по функционалу достаточно объемен:-) Готовые решения / modMonitor. Порассуждаем о стоимости компонентов? 152 +2
09 ноября 2016, 21:55 Я вас может быть немного разочарую. Но — при массовых взломах насколько мне известно запросы идут сразу на уязвимый сценарий. — Попытки найти админку бывают из любопытства. — Определение CMS по сигнатурам это только если сайт действительно интересен. Коли это так, то спрятать все сигнатуры довольно сложно. Особенно если сайт чекается руками, а не через 2ip Так что небольшой профит в получите. Возможно даже узнаете об уязвимостях в других CMS таким способом. Но полагаться на подобную защиту нет смысла. Безопасность / Критическая уязвимость в MODX Revolution 340 +1
Возможно ли реализовать возможность предоплаты за доставку на сайте? У меня Робокасса, у них вроде есть docs.robokassa.ru/ru/iframe
Редизайн сообщества На больших экранах основной текст статьи я бы сделал 18 px. Да и текст комментариев можно таким сделать. Для меня лично 16 — мелковато на больших экранах (в комментариях вообще 15 ...
MiniShop3 1.11.0 при клике на radio идет пересчет итоговой суммы в orderUI, в зависимости от способов(оплаты доставки) я так поняла. попробуй код запуска события поставить ниже чем orderUI, после
ImageOptimizer - WebP/AVIF и responsive <picture> для MODX 3 Дополнение доступно modstore.pro/packages/photos-and-files/imageoptimizer
Localizator3 для MODX 3: перевод полей и TV без отдельного context на язык, Vue 3 + PrimeV... Добавил localizator3_default_language
msInShopNotify Начиная с версии 3.0.0-beta добавлена поддержка MiniShop3 Минимальные требования: PHP 8.4 MODX 3.2 MiniShop3
MaxNotify Обновление 1.2.0-pl (03.07.2026) — добавлены уведомления о заявках FormIt через hook-сниппет `maxNotifyFormIt`; — добавлены уведомления о заявках SendIt через hook-...
[msBonus2] 1.3.0 Бонус-коды, уведомления о сгорании и совместимость с msMultiCurre... Да, планируется. Даже чуть больше, чем просто бонусная система)
К слову, рядом с uploadify.php должен быть еще один файл, который позволяет получать список файлов в папках на сервере. Так же без всякой авторизации.
— Аудит modhost.pro/
— Проверка компонентов (хотя бы из modstore.pro)
А потом уже может быть я напишу на security@modx.com
Очень жаль, что Николаю выражается благодарность за то, что он развел троллинг со сменой префиксов. Если бы все согласились сего исправлением — дырка бы так и осталась в ядре. Так за что спасибо то?)
Хотя кто-то, а ты должен знать всю истории и понимать, почему я им принципиально ничего не сообщаю.
Так что осталось только дождаться сигнала к действию. Чтобы это стало началом конца.
Причина 1
Ты приходишь и начинаешь обосновывать стоимость
офигеннымкачеством. А им там даже не пахнет. Как уже выше говорили — большинство твоих компонентов так и находится в статусе beta. Часть из них с дырками, которых нет в других компонентах. Я понимаю, что тебе хочется верить в свою охрененность. Но когда эта вера начинает зашкаливать и ты заявляешь, что даже консультировал меня — это уже перебор. Даже если мы и обсуждали смену контекстов — то это никак не консультация, а диалог. Более того, этот диалог закончился ничем.Причина 2
То, что ты нашел дырку в ядре — молодец. Но решение предложенное тобой — нифига не решение. Да, +1 к безопасности добавляет. Но не более. Меня просто возмутило то, что ты людей вводишь в заблуждение.
P.S. Я изначально знал, что диалог с тобой бесполезен. Поэтому шел сюда в первую очередь донести информацию не до тебя, а до общественности. И судя по рейтингам комментариев у меня это получилось. Так что на этом моя миссия выполнена.
Тема консультаций раскрыта
Хорошо, господин главнокоманндующий. Пойду дальше свои здания строить, а то еще закидаешь фекалиями.
Но знаешь, когда для человека расширение системных процессоров с отключением проверки уровень доступа это норма, то да — во многих компонентах можно найти дыры. Даже тот же modLiveStreat делает все правильно:
и просто modx не умеет этот код готовить…
В modImporter точку входа ты сам организовал assets\components\modimporter\connectors\connector.php. Но коли она тебе не видна, это еще не значит, что ее там нет.
Для примера, P.A.S. можно бесплатно скачать. И по функционалу достаточно объемен:-)
— при массовых взломах насколько мне известно запросы идут сразу на уязвимый сценарий. — Попытки найти админку бывают из любопытства.
— Определение CMS по сигнатурам это только если сайт действительно интересен. Коли это так, то спрятать все сигнатуры довольно сложно. Особенно если сайт чекается руками, а не через 2ip
Так что небольшой профит в получите. Возможно даже узнаете об уязвимостях в других CMS таким способом. Но полагаться на подобную защиту нет смысла.