Евгений Борисов

А это что должно делать? Кроме возможности вставить подзапрос на выборку ничего не увидел

Учим матчасть на тему слепой SQL-injection. Кто знает, тот поймет. И да, в коде специально куча ошибок. Это лишь демонстрация общего принципа, чтобы нельзя было копипастом воспользоваться.

Кстати, если поиграться с запросом, можно даже такое получить: SQL injection attempt detected.

Это фишка хостера

Сам попробуй сломать сайт с кастомными префиксами.

Это сейчас на слабо проверка? Банальный брутфорс по 1 символу.

$c = array_merge(range(0, 9), range('a', 'z'), ['-', '_', '.', '@'], range('A', 'Z'));
$p = 0;
//(SELECT IF(ORD(SUBSTRING(TABLE_SCHEMA,".$p.",1)) = '.ord($c).',1,9999999) FROM information_schema.TABLES WHERE TABLE_NAME LIKE '%users' LIMIT 0,1)

В свое время я пытался искать пути решения. Но политика разработчиков убила и я плюнул. Они каждый раз просто меняют вектор атаки. В прошлый раз эта уязвимость позволяла подменять контексты и рулить всем сайтом. Они добавили проверку прав доступа.

Теперь эта же уязвимость но в другом месте. И опять, все идет по какому-то странному пути — закрывают отображение префикса из конфигов, которые доступны только из админки.

Коли так, то вообще всю админу нужно удалять. Не понимаю, зачем делать проверку на расширения доступные к загрузке, если пользователь может переименовать файл!!! Заливаем .jpg и меняем на .php => PROFIT!

В общем бред, бред и еще раз бред.

И, насколько я помню, Евгений еще далеко не всё показал. Не удивлюсь, если и про сегодняшний баг он давно в курсе, просто стимула рассказывать авторам MODX больше нет.

Все верно.

$modx->getObject('modResource', array(
    'modResource.id`IN (SELECT 1,1,1,1,1,1,1,1,1,1,1,1,1,1)#' => ''
));

А еще есть возможность создания произвольных файлов на сервере.

P.S. Да простит меня неуловимый ДЖО и его разработчики:-)))))

Я так и не понял чем смена префикса вас обезопасит

SELECT TABLE_NAME FROM information_schema.TABLES WHERE TABLE_NAME LIKE '%users'

Потому, что они не реагировали на багрепорты;-) И это был единственный способ заставить их шевелиться. Увы, но это правда.

Тема консультаций не раскрыта

Никого не хочу защищать или оправдывать, но справедливости ради добавлю — эти теги были взяты копипастом с моего блога, когда я чисто гипотетически (не проверив исходный код) предположил как pdoTools выполняет запросы.
Когда Василий Краковецкий посмотрел исходный код pdoTools и сообщил мне что toSQL там используется лишь для отладки, то я топик поправил убрав некорректную концовку с намеком, что mSearch и другие компоненты основаные на pdoTools тоже могут быть подвержены sql-injection. Вместе с концовкой так же были поправлены и теги.

Так что ни холивара ради, а во благо для…

Вы неизлечимы

Если есть такое готовое расширение, подскажите?

Вам правильно уже выше подсказали — MarkerGoogleMaps.

А если нет, кто нибудь может такое сделать не безвозмездно разумеется?

А если есть и вам оно подходит, то не желаете поддержать развитие компонента? Тем более он был начат для бесплатного некоммерческого проекта "Подари детям радость".

blog.agel-nash.ru/2013/8/thumb.html

Попробуйте вместо ellipsis сниппет summary. Имхо, описание обрывающееся на пол слове как-то не кашерно смотрится.

Вот это же самое, только под Revo github.com/AgelxNash/TagFaster

А как долго эта халява modx-test.com продлится?

Вероятно в версии. У вас какая?

Ибо в дополнениях используется обычно всего один коннектор, который всё разруливает.

Подозрительный коннектор. На LFI смахивает, но потом посмотрю:-)

набрав их в адресной строке

Именно поэтому и выносят ядро выше корня и в идеале должен остаться только 1 index.php через который и должен идти роутинг на основании $_SERVER['REQUEST_URI'], а не $_REQUEST['q'] и т.п.
В случае с контроллерами ничего удивительно, т.к. они и задумывались для того, чтобы к ним обращались на прямую. Правда странно, что тут авторы не подумали про маршрутизацию наплодили туеву кучу файлов однотипного содержания.

Но вообще, MODX явно потерял звание безопасной CMS.

Это и была моя первоочередной целью после статьи про то, какие они крутые по сравнению с Drupal и другими движками modx.com/blog/2012/05/29/why-we-dont-do-powered-by-by-default/

Спасибо за анонс. На самом деле за кадром остался еще один баг с LFI тоже через коннекторы. Но я его не раскручивал, т.к. эта дырка будет покритичней. Да и в версии 2.2.8 скорее всего LFI отвалится под воздействием факторов. Хотя… Поживем увидим в общем)

Бюджет озвучьте:-)