Евгений Борисов

Да, но я не встречал еще выборок вида ->getCollection('modXXXXXX', $_REQUEST);
Зато для ->getObject('modXXXXXX', $_REQUEST) можно найти массу примеров.

Ну костыль для этого дела уже придумали в виде MODxAPI

Скорее всего, разработчикам нужно тщательней руками фильтровать данные, а не полагаться на xPDO

Нет, не использует. Там разработчики дополнений самостоятельно обрабатывают пользовательские данные.

Где-то в коде закладка значит. Ищите внимаельней

Я считаю что без разницы какой код главное сколько времени придётся потратить на достижения своих целей!

Пару лет назад был один такой же персонаж.Но это уже другая история. Удачи в продажах)))

Мне проще как и раньше ничего не делать;-)

Повысить права != ломать. Разве я вам сломал сайт и после этого пришлось что-то откатывать? Ссылка на демо-сайт — удачная возможность для демонстрации недостатков кастрированных учетных записей. Данная тема практически нигде не затрагивается и зачастую, люди ограничивающие доступ в админку политиками безопасности даже не подозревают, что в этом особого смысла нет (кроме защиты от дурака, чтобы лишнего не грохнули).

P.S. Я сожалению, что данная тема была поднята в контексте вашего компонента. Он действительно никакого отношения не имеет к тому, что сейчас обсуждается в вашем топике. Возможно, если Василий сочтет нужным — он перенесет данный оффтоп в новую тему. Ну или грохнет наши комменты, чтобы не дискредитировать msPre.

А на счёт взлома админки, и что кто-то попытается по упражняться на демо сайте компонента я предполагал и не сколько не переживал, ну взломал, ну посмотрел, ну не нашёл исходники компонента, ну и ушёл не счем!

Прикольно, а как без исходников у вас это демонстрируется на сайте?

Да и текущий взлом и даже не MODX дыра! Вся проблема это сторонние дополнения!

Это лишь был самый простой способ добиться цели. Без проблем можно провернуть аналогичное не имея на сайте ни одного компонента.

DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.ndb
DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/junk.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/phish.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/rogue.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_filename.cdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_generic.cdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_js.cdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/badmacro.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/scam.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sanesecurity.ftm
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sigwhitelist.ign2
DatabaseCustomURL http://cdn.malware.expert/malware.expert.ndb
DatabaseCustomURL http://cdn.malware.expert/malware.expert.hdb
DatabaseCustomURL http://clamav.bofhland.org/bofhland_cracked_URL.ndb
DatabaseCustomURL http://clamav.bofhland.org/bofhland_malware_URL.ndb
DatabaseCustomURL http://clamav.bofhland.org/bofhland_malware_attach.hdb
DatabaseCustomURL http://clamav.bofhland.org/bofhland_phishing_URL.ndb

Туда же

Предпочитаю с CentOS работать, но в случае с ClamAV разницы нет никакой.
Перед запуском необходимо обновить базы через freshclam (свои базы можно подключить в файле /etc/freshclam.conf). В идеале будет если настроите службу для автоматического обновления баз.

Протестировать работу можно, например, так

wget -O /tmp/eicar.com.txt http://www.eicar.org/download/eicar.com.txt
clamscan --recursive /tmp/ --infected --no-summary

P.S. Возникнут сложности — обращайтесь (контакты в профиле). Помогу настроить.

Самое узкое место в админке MODX это всякие сниппеты/плагины. Если вам дали доступ в админку чтобы редактировать текст, то вы так же должны еще и включить обработку тегов.
Например, кто-то напишет вместо заголовка вызов сниппета и откроет страницу…

А теперь посмотрите код сниппетов — почти везде параметры воспринимаются as it. Более того, где-то даже это особенность сниппета (вот пример легитимного внедрения SQL запроса, а еще есть чтение файлов, загрузка файлов, выполнение кода).

Поэтому если нужен реально ограниченный доступ — стройте его самостоятельно с фронта через новый контекст.

В очередной раз убеждаюсь, что MODX это дырень:-). Если дал доступ в админку (даже с самыми минимальными правами), то считай дал полный доступ к сайту

Какие?

Увы, но айболит не самое лучшее решение. Они анализируют файлы по регулярным выражениям. В итоге точность детекта в лучшем случае 90%. Я предпочитаю ClamAV с базами SecuriteInfo

Автор поста предпочел не указывать домен. Поэтому пусть это останется моей тайной;-)

Нашел ваш сайт и проверил кто хостер

Скорее всего был как-то некорректно удален, т.к. до сих пор коннекторы Gallery дергаются. В общем детальней нужно чистку делать проверяя в том числе и закладки через TV параметры

timeweb

К чему это? Я в этом топике уже писал как узнать путь по которому создастся файл.