Василий Наумкин

Жень, скажи честно — вот на modx.pro сейчас есть теоретическая возможность взлома через подобные лазейки?

Если есть, напиши мне, пожалуйста, стоимость работ по полному анализу и исправлению на мыло.

P.S. Дебилизм — не дебилизм, но вроде через Tickets пока не было массовых взломов.

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

08 ноября 2016, 14:02

Там CSRF из коробки работает для ajax запросов, но принцип тот же: токен привязывается к сессии и не меняется на протяжении всей её жизни.

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

08 ноября 2016, 10:29

Не боись.

При первых же признаках взлома я побегу к Евгению Борисову и он тут всё обезопасит. Возможно, даже со скидкой, по старой дружбе =)

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

08 ноября 2016, 10:26

Я думал, это очевидно, что комментарий от зачёркнутого никнейма изменить мог только «злой Василий».

Или вы реально поверили в бред про подбор многосимвольного префикса в разных регистрах вслепую?

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

08 ноября 2016, 10:20

Это я пошутил.

Подбил на взлёте яркую звезду, которая ушла в рейтинг -10 за 5 комментов.

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

08 ноября 2016, 10:19

Да это я отредактировал, смеха ради.

Неужели ты думаешь, что забаненый человек с возможностью что-то редактировать обошёлся бы без матов и сам себя не разблокировал?

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

07 ноября 2016, 22:17

Ну, а у меня идей больше нет.

Вопросы

Призываю гуру МОDX, проблема после обновы pdoTools 8

Василий Наумкин

07 ноября 2016, 17:05

В JSON кавычки двойные, а не одинарные.

Вопросы

параметр where в pdoResources 2

Василий Наумкин

07 ноября 2016, 11:21

Никакой разницы. Все нормальные дополнения используют
MODX_CORE_PATH
MODX_ASSETS_URL
MODX_ASSETS_PATH
MODX_MANAGER_URL и т.д.

Хочется составлять и обновлять список — на здоровье. Каждый тратит своё время как хочет.

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

07 ноября 2016, 11:09

Все нормальные дополнения будут работать без проблем с любым префиксом и папками, ибо они получается из системных настроек и констант.

Проблемы могут быть только с собственными сниппетами, которые хардкодят префикс вот так

$res = $modx->query("SELECT * FROM modx_users WHERE...");

вместо

$res = $modx->query("SELECT * FROM {$modx->config['table_prefix']}_users WHERE...");

или даже

$res = $modx->query("SELECT * FROM {$modx->getTableName('modUser')} WHERE...");

это если есть xPDO модель для этой таблицы

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

07 ноября 2016, 11:03

bezumkin.ru/sections/tips_and_tricks/2918/

Вопросы

ЧПУ url в mFilter2 2

Василий Наумкин

07 ноября 2016, 09:27

$modx->event->returnedValues

и будет пустым, пока туда кто-то что-то не запишет.

Держи рабочий пример из платного msDiscount

case 'msOnGetProductPrice':
		if ($modx->context->key == 'mgr') {return;}
		/**
		 * Counts discount of current product for current user, based on rules in msDiscount component
		 * New price must be set in $modx->event->returnedValues['price']
		 *
		 * @var msProductData $product Object with product properties
		 * @var array $data Array with product properties. Can be empty!
		 * @var float $price Current price of product
		 */
		if (!isset($modx->event->returnedValues['price'])) {
			$modx->event->returnedValues['price'] = $price;
		}
		// Get link to product price
		$price = & $modx->event->returnedValues['price'];
		$new_price = $msDiscount->getNewPrice($product->id, $price);
		if ($new_price !== false) {
			$price = $new_price;
		}
		break;

Обрати внимание, что в событии доступны 3 параметра: $product, $data и собственно $price

Вопросы

Поменять цену у товара через плагин 9

Василий Наумкин

07 ноября 2016, 09:09

Кошмар какой!

Предлагаю написать про это отдельный топик, наверняка многие не в курсе. И да, на modhost.pro по умолчанию для всех сайтов прописано правило

location ~* ^/core/ {
    deny                all;
}

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

06 ноября 2016, 18:25

Может поэтому в Eloquent есть отдельно Raw expressions?

Вообще, грусть-тоска. Я наивно полагал, что работа через xPDO меня как-то защищает. Очевидно, это всё в прошлом и нужно пересматривать все свои дополнения.

Спасибо за PR в pdoTools!

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

06 ноября 2016, 18:18

Хороший вопрос.

Надеюсь, что результат выполнения запроса увидеть никак нельзя, но я уже ни в чём не уверен.

Безопасность

Критическая уязвимость в MODX Revolution 340

Василий Наумкин

06 ноября 2016, 16:12

Ясно.

Не нужно указывать имя пользователя как число, а потом использовать его в качестве username вместо id в адресе своей страницы. У меня конечно много разных проверок, но до такого я не додумался.

Исправлено.

Хостинг

Изменение префиксов таблиц на modhost 21