12 сентября 2018, 15:11 Да, но я не встречал еще выборок вида ->getCollection('modXXXXXX', $_REQUEST); Зато для ->getObject('modXXXXXX', $_REQUEST) можно найти массу примеров. Безопасность / История SQL-injection в MODX Revolution 21 0
12 сентября 2018, 14:18 Ну костыль для этого дела уже придумали в виде MODxAPI Безопасность / История SQL-injection в MODX Revolution 21 0
12 сентября 2018, 14:17 Скорее всего, разработчикам нужно тщательней руками фильтровать данные, а не полагаться на xPDO Безопасность / История SQL-injection в MODX Revolution 21 +1
12 сентября 2018, 14:03 Нет, не использует. Там разработчики дополнений самостоятельно обрабатывают пользовательские данные. Безопасность / История SQL-injection в MODX Revolution 21 0
06 сентября 2018, 01:01 Где-то в коде закладка значит. Ищите внимаельней Безопасность / Revolution 2.6.4 and Prior Two Cricital Vulnerabilities 177 0
05 сентября 2018, 18:01 Я считаю что без разницы какой код главное сколько времени придётся потратить на достижения своих целей!Пару лет назад был один такой же персонаж.Но это уже другая история. Удачи в продажах))) Новые дополнения и их версии / Новая версия msPre - массовое редактирование товаров 31 +2
05 сентября 2018, 17:39 Мне проще как и раньше ничего не делать;-) Новые дополнения и их версии / Новая версия msPre - массовое редактирование товаров 31 0
05 сентября 2018, 17:30 Повысить права != ломать. Разве я вам сломал сайт и после этого пришлось что-то откатывать? Ссылка на демо-сайт — удачная возможность для демонстрации недостатков кастрированных учетных записей. Данная тема практически нигде не затрагивается и зачастую, люди ограничивающие доступ в админку политиками безопасности даже не подозревают, что в этом особого смысла нет (кроме защиты от дурака, чтобы лишнего не грохнули). P.S. Я сожалению, что данная тема была поднята в контексте вашего компонента. Он действительно никакого отношения не имеет к тому, что сейчас обсуждается в вашем топике. Возможно, если Василий сочтет нужным — он перенесет данный оффтоп в новую тему. Ну или грохнет наши комменты, чтобы не дискредитировать msPre. Новые дополнения и их версии / Новая версия msPre - массовое редактирование товаров 31 +2
05 сентября 2018, 15:49 А на счёт взлома админки, и что кто-то попытается по упражняться на демо сайте компонента я предполагал и не сколько не переживал, ну взломал, ну посмотрел, ну не нашёл исходники компонента, ну и ушёл не счем!Прикольно, а как без исходников у вас это демонстрируется на сайте? Да и текущий взлом и даже не MODX дыра! Вся проблема это сторонние дополнения!Это лишь был самый простой способ добиться цели. Без проблем можно провернуть аналогичное не имея на сайте ни одного компонента. Новые дополнения и их версии / Новая версия msPre - массовое редактирование товаров 31 0
05 сентября 2018, 14:12 DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.ndb DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.hdb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/junk.ndb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/phish.ndb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/rogue.hdb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_filename.cdb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_generic.cdb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_js.cdb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/badmacro.ndb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/scam.ndb DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sanesecurity.ftm DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sigwhitelist.ign2 DatabaseCustomURL http://cdn.malware.expert/malware.expert.ndb DatabaseCustomURL http://cdn.malware.expert/malware.expert.hdb DatabaseCustomURL http://clamav.bofhland.org/bofhland_cracked_URL.ndb DatabaseCustomURL http://clamav.bofhland.org/bofhland_malware_URL.ndb DatabaseCustomURL http://clamav.bofhland.org/bofhland_malware_attach.hdb DatabaseCustomURL http://clamav.bofhland.org/bofhland_phishing_URL.ndbТуда же Вопросы / Заражения продолжаются и после обновления до 2.6.5 10 0 3
05 сентября 2018, 14:06 Предпочитаю с CentOS работать, но в случае с ClamAV разницы нет никакой. Перед запуском необходимо обновить базы через freshclam (свои базы можно подключить в файле /etc/freshclam.conf). В идеале будет если настроите службу для автоматического обновления баз. Протестировать работу можно, например, так wget -O /tmp/eicar.com.txt http://www.eicar.org/download/eicar.com.txt clamscan --recursive /tmp/ --infected --no-summary P.S. Возникнут сложности — обращайтесь (контакты в профиле). Помогу настроить. Вопросы / Заражения продолжаются и после обновления до 2.6.5 10 0
05 сентября 2018, 12:24 Самое узкое место в админке MODX это всякие сниппеты/плагины. Если вам дали доступ в админку чтобы редактировать текст, то вы так же должны еще и включить обработку тегов. Например, кто-то напишет вместо заголовка вызов сниппета и откроет страницу… А теперь посмотрите код сниппетов — почти везде параметры воспринимаются as it. Более того, где-то даже это особенность сниппета (вот пример легитимного внедрения SQL запроса, а еще есть чтение файлов, загрузка файлов, выполнение кода). Поэтому если нужен реально ограниченный доступ — стройте его самостоятельно с фронта через новый контекст. Новые дополнения и их версии / Новая версия msPre - массовое редактирование товаров 31 +3
04 сентября 2018, 22:14 В очередной раз убеждаюсь, что MODX это дырень:-). Если дал доступ в админку (даже с самыми минимальными правами), то считай дал полный доступ к сайту Новые дополнения и их версии / Новая версия msPre - массовое редактирование товаров 31 +6 1
04 сентября 2018, 15:21 Увы, но айболит не самое лучшее решение. Они анализируют файлы по регулярным выражениям. В итоге точность детекта в лучшем случае 90%. Я предпочитаю ClamAV с базами SecuriteInfo Вопросы / Заражения продолжаются и после обновления до 2.6.5 10 0 1
04 сентября 2018, 15:08 Автор поста предпочел не указывать домен. Поэтому пусть это останется моей тайной;-) Вопросы / Новый вирус в MODX? 19 0
04 сентября 2018, 14:55 Скорее всего был как-то некорректно удален, т.к. до сих пор коннекторы Gallery дергаются. В общем детальней нужно чистку делать проверяя в том числе и закладки через TV параметры Вопросы / Новый вирус в MODX? 19 0
23 июля 2018, 18:05 К чему это? Я в этом топике уже писал как узнать путь по которому создастся файл. Безопасность / Revolution 2.6.4 and Prior Two Cricital Vulnerabilities 177 0
Возможно ли реализовать возможность предоплаты за доставку на сайте? У меня Робокасса, у них вроде есть docs.robokassa.ru/ru/iframe
Редизайн сообщества На больших экранах основной текст статьи я бы сделал 18 px. Да и текст комментариев можно таким сделать. Для меня лично 16 — мелковато на больших экранах (в комментариях вообще 15 ...
MiniShop3 1.11.0 при клике на radio идет пересчет итоговой суммы в orderUI, в зависимости от способов(оплаты доставки) я так поняла. попробуй код запуска события поставить ниже чем orderUI, после
ImageOptimizer - WebP/AVIF и responsive <picture> для MODX 3 Дополнение доступно modstore.pro/packages/photos-and-files/imageoptimizer
Localizator3 для MODX 3: перевод полей и TV без отдельного context на язык, Vue 3 + PrimeV... Добавил localizator3_default_language
msInShopNotify Начиная с версии 3.0.0-beta добавлена поддержка MiniShop3 Минимальные требования: PHP 8.4 MODX 3.2 MiniShop3
MaxNotify Обновление 1.2.0-pl (03.07.2026) — добавлены уведомления о заявках FormIt через hook-сниппет `maxNotifyFormIt`; — добавлены уведомления о заявках SendIt через hook-...
[msBonus2] 1.3.0 Бонус-коды, уведомления о сгорании и совместимость с msMultiCurre... Да, планируется. Даже чуть больше, чем просто бонусная система)
Зато для ->getObject('modXXXXXX', $_REQUEST) можно найти массу примеров.
P.S. Я сожалению, что данная тема была поднята в контексте вашего компонента. Он действительно никакого отношения не имеет к тому, что сейчас обсуждается в вашем топике. Возможно, если Василий сочтет нужным — он перенесет данный оффтоп в новую тему. Ну или грохнет наши комменты, чтобы не дискредитировать msPre.
Это лишь был самый простой способ добиться цели. Без проблем можно провернуть аналогичное не имея на сайте ни одного компонента.
Перед запуском необходимо обновить базы через freshclam (свои базы можно подключить в файле /etc/freshclam.conf). В идеале будет если настроите службу для автоматического обновления баз.
Протестировать работу можно, например, так
P.S. Возникнут сложности — обращайтесь (контакты в профиле). Помогу настроить.
Например, кто-то напишет вместо заголовка вызов сниппета и откроет страницу…
А теперь посмотрите код сниппетов — почти везде параметры воспринимаются as it. Более того, где-то даже это особенность сниппета (вот пример легитимного внедрения SQL запроса, а еще есть чтение файлов, загрузка файлов, выполнение кода).
Поэтому если нужен реально ограниченный доступ — стройте его самостоятельно с фронта через новый контекст.