Евгений Борисов

P.P.S: Может каждому в репу дать по 100+?

На хабре за подобные предложения бан дают)))

Один умный человек положил в компонент Evogallery тестовый файл uploadify.php. Этот файл позволяет любому пользователю загружать любую информацию на сервере. В более поздних версиях EvoGallery файл был удален, но т.к. большинство обновляют движки перезаписью файлов — файл так и остался не затронутым. И только сейчас додумались сделать так.

К слову, рядом с uploadify.php должен быть еще один файл, который позволяет получать список файлов в папках на сервере. Так же без всякой авторизации.

Как минимум, у меня в планах следующее:
— Аудит modhost.pro/
— Проверка компонентов (хотя бы из modstore.pro)

А потом уже может быть я напишу на security@modx.com

So please, if you have any details or proof of concepts of attacks, please email those to security@modx.com so we can make MODX safer and release an update soon.

Вам уже даже пример показали. А вы все понять не можете…

Thanks to help from people like Nikolay and Bezumkin we've found and fixed some issues

Очень жаль, что Николаю выражается благодарность за то, что он развел троллинг со сменой префиксов. Если бы все согласились сего исправлением — дырка бы так и осталась в ядре. Так за что спасибо то?)

Не хочу ругаться, но не понимаю такого отношения.

Чего не понимаешь? Почему я им не написал. Ну да, бяка я. С 2014 года мне ничего не остается, кроме как стебаться…

Хотя кто-то, а ты должен знать всю истории и понимать, почему я им принципиально ничего не сообщаю.

Конца света не будет. Расходимся)))

Уже удалили.

безопасность системы никак не коррелирует с её популярностью и распространением в мире. Примеры: Wordpress и Joomla.

Кстати, сегодняшнее заявление официально подверждает, что можно тоннами слать баги по каждому компоненту на exploit-db (как это делается для Joomla и WordPress). Если решиться, то думаю всего за 1 день +100 пунктов наберем и убьем всю схему монетизации MODX. Останется сравнивать уже только популярность, т.к. безопасность будет на одном уровне по числу публичных дырок.

Так что осталось только дождаться сигнала к действию. Чтобы это стало началом конца.

Вот и официальное подтверждение того, что я понял 2 года назад — MODX наше все. Кто не согласен — сам дурак.

Типо того

Я считаю, что до тех пор, пока при запросе $modx->getObject('modResource') можно будет получить объект modUsers, тема будет не закрыта.

Нужно было через POST работать;-) А вообще, давно известно, что Василий в отличии от Философа активно курит логи. Поэтому площадку для демонстрации нужно было выбирать не modx.pro;-)

Нет, Коленька, получается по другому. Ты опять пытаешься смешать одно и другое. Вот 2 причины, почему я после ооооочень длительного перерыва все-таки вышел на диалог с сообществом.

Причина 1
Ты приходишь и начинаешь обосновывать стоимость офигенным качеством. А им там даже не пахнет. Как уже выше говорили — большинство твоих компонентов так и находится в статусе beta. Часть из них с дырками, которых нет в других компонентах. Я понимаю, что тебе хочется верить в свою охрененность. Но когда эта вера начинает зашкаливать и ты заявляешь, что даже консультировал меня — это уже перебор. Даже если мы и обсуждали смену контекстов — то это никак не консультация, а диалог. Более того, этот диалог закончился ничем.

Причина 2
То, что ты нашел дырку в ядре — молодец. Но решение предложенное тобой — нифига не решение. Да, +1 к безопасности добавляет. Но не более. Меня просто возмутило то, что ты людей вводишь в заблуждение.

P.S. Я изначально знал, что диалог с тобой бесполезен. Поэтому шел сюда в первую очередь донести информацию не до тебя, а до общественности. И судя по рейтингам комментариев у меня это получилось. Так что на этом моя миссия выполнена.

Тема консультаций раскрыта

О чем я и говорю, что у тебя на любой недочет всегда есть отмазка. Но когда все эти недочеты собираются воедино и получается трололо — то по твоей логике виноват уже не тот, кто пишет криво. Удобно!

Но тон надо поправить или вообще молчать. А то выглядит как спор вояки и архитектора

Хорошо, господин главнокоманндующий. Пойду дальше свои здания строить, а то еще закидаешь фекалиями.

У тебя видимо совсем туго с юмором.

Но знаешь, когда для человека расширение системных процессоров с отключением проверки уровень доступа это норма, то да — во многих компонентах можно найти дыры. Даже тот же modLiveStreat делает все правильно:


и просто modx не умеет этот код готовить…

Я даже не сомневался в подобной реакции. Странно, что во многих других компонентах этой баги нет. Видимо в ядре modx заложена проверка на автора.

История с LiveStreat тебя ничему не научила. Там тоже у тебя были виноваты все кроме modLiveStreat: MODX, что теги не фильтрует и LiveStreat, что пропускает маршрутизацию. А по факту, то именно ты точку входа там организовал.

В modImporter точку входа ты сам организовал assets\components\modimporter\connectors\connector.php. Но коли она тебе не видна, это еще не значит, что ее там нет.

По моему я достаточно четко обозначил где проблема. Разве нет?

И в отзывах к modImporter и switchUser положительно отзываются и по качеству компонентов

Дырявый у тебя modImporter.
Для примера, P.A.S. можно бесплатно скачать. И по функционалу достаточно объемен:-)

Я вас может быть немного разочарую. Но
— при массовых взломах насколько мне известно запросы идут сразу на уязвимый сценарий. — Попытки найти админку бывают из любопытства.
— Определение CMS по сигнатурам это только если сайт действительно интересен. Коли это так, то спрятать все сигнатуры довольно сложно. Особенно если сайт чекается руками, а не через 2ip

Так что небольшой профит в получите. Возможно даже узнаете об уязвимостях в других CMS таким способом. Но полагаться на подобную защиту нет смысла.