Василий Наумкин

Да, ты абсолютно прав — снимаю шляпу.

Я вчера весь день читал про слепые SQL и ставил эксперименты на тестовом сайте. А сегодня весь день буду обновлять свои дополнения на предмет фильтрации этих слепых SQL в запросах.

Очевидно, что на фильтрацию их в самом xPDO полагаться нельзя, как бы ни хотелось.

Неа, сайтики modstore.pro и modx.pro даже физически расположены на разных серверах.

Но спасибо за логи, я внимательно смотрю где и что ты перебирал, на какие файлы обращался и какими запросами.
Теперь очевидно, что нужно делать дополнительную фильтрацию всех запросов, перед передачей их в xPDO.

Либо нажимать на количество комментариев под кнопкой обновления.

Я не могу со 100% точностью заявлять, что человек, создавший сайт и написавший коммент — одно лицо, паспорт я не проверял.

Но если ты думаешь, что один человек вчера создал тестовый сайт, а другой следом его нашел, взломал и выложил сюда префикс — то советую включить ту часть мозга, которая отвечает у тебя за логику.

Я уж молчу о том, что «великий хакер» создал здесь новую учётную запись с тем же ником, а не разблокировал старую — что было бы гораздо круче и нагляднее.

В общем вас, хорьков-паникёров, уже не стесняясь троллят, а вы ведётесь.

Ты тоже так можешь:
1. Заходишь на modhost.pro
2. Создаёшь новый тестовый сайт
3. Смотришь его префикс
4. Profit!

Что и кому это доказывает — непонятно. Речь, всё-таки, шла о префиксе этого сайта, а не любого подряд.

Нет.

Это префикс тестового сайта, созданного вчера на modhost.pro

s7308.h7.modhost.pro/
s3708
FhQIqQmo09Md

Твой код с подключением файлов в шаблоне, никуда не пропадает.

Выложил новую версию, проверяй.

Ага, вижу проблему. Отключи пока у плагина событие перед сохранением кэша — чуть позже выпущу обновление.

Тут речь про фильтрацию тегов на фронтенде.

Понял, спасибо.

Значит буду проверять свои дополнения самостоятельно.

Жень, скажи честно — вот на modx.pro сейчас есть теоретическая возможность взлома через подобные лазейки?

Если есть, напиши мне, пожалуйста, стоимость работ по полному анализу и исправлению на мыло.

P.S. Дебилизм — не дебилизм, но вроде через Tickets пока не было массовых взломов.

Там CSRF из коробки работает для ajax запросов, но принцип тот же: токен привязывается к сессии и не меняется на протяжении всей её жизни.

Не боись.

При первых же признаках взлома я побегу к Евгению Борисову и он тут всё обезопасит. Возможно, даже со скидкой, по старой дружбе =)

Я думал, это очевидно, что комментарий от зачёркнутого никнейма изменить мог только «злой Василий».

Или вы реально поверили в бред про подбор многосимвольного префикса в разных регистрах вслепую?

Это я пошутил.

Подбил на взлёте яркую звезду, которая ушла в рейтинг -10 за 5 комментов.

Да это я отредактировал, смеха ради.

Неужели ты думаешь, что забаненый человек с возможностью что-то редактировать обошёлся бы без матов и сам себя не разблокировал?

Ну, а у меня идей больше нет.

В JSON кавычки двойные, а не одинарные.

Никакой разницы. Все нормальные дополнения используют
MODX_CORE_PATH
MODX_ASSETS_URL
MODX_ASSETS_PATH
MODX_MANAGER_URL и т.д.

Хочется составлять и обновлять список — на здоровье. Каждый тратит своё время как хочет.