08 ноября 2016, 16:45 1 +5 wordpress весь в дырах, это не мешает им быть самой популярной CMSкой. Вы попробуйте сначала воспользоваться этими дырами. Лично я не вижу вообще оснований все бросать и переходить на другую систему. Зачем? Чтобы там кто-то знающий пришел и рассказал, что есть дыры? Пойдете на другую платформу? Есть не мало статей написанных как обезопасить MODX. Переведите админку и коннекторы на другой поддомен, закройте его по ip и двухфакторной авторизацией. На фронте дайте одну только точку входа и фильтруйте входящие запросы. Все. Что вам еще надо? Это на серьезных проектах. Простые сайты-визитки делаете? Кому вы нужны? — поменяйте префикс и все. Это будет касаться практически любого проекта. Я не думаю, что Женя через какое-то время обнаружит дыры и в ларавеле (если еще не нашел). Безопасность / Критическая уязвимость в MODX Revolution 340
08 ноября 2016, 16:39 0 P.S. Дебилизм — не дебилизм, но вроде через Tickets пока не было массовых взломов.Я же тебе выше писал, что через тикетс запросто в системные процессоры залез. Безопасность / Критическая уязвимость в MODX Revolution 340
08 ноября 2016, 16:35 0 Сейчас вот modxcloud раздает информацию о первых 9 пользователях удовлетворящих запросу. Всего 21168 пользователь. Жесть… Безопасность / Критическая уязвимость в MODX Revolution 340
08 ноября 2016, 16:27 0 Женя, что-то ты какую-то фигню сейчас сказал. Давай просто? Ты считаешь, что нет разницы между простыми и сложными паролями? Что же народ не пользуется одними только паролями типа 123456 и qwerty? Не потому ли, что их проще подобрать? И ты хочешь сказать, что подобрать префикс типа modx2_ и sdfWE234s_wefSDf_ — одна и та же задача? И время займет это одно и то же? Безопасность / Критическая уязвимость в MODX Revolution 340
08 ноября 2016, 10:50 0 Сергей, я запросы не со стороннего сервера слал, а из браузера. То есть здесь никаких кроссзапросов. Безопасность / Критическая уязвимость в MODX Revolution 340
08 ноября 2016, 10:30 +4 Или вы реально поверили в бред про подбор многосимвольного префикса в разных регистрах вслепую?Судя по всему, многие поверили. У страха глаза велики. Значит 70-100 в десятой степени у них выполняется за 300 секунд, а сайты с 1000 документов за 30 секунд не всегда выполняются. Магия какая… Безопасность / Критическая уязвимость в MODX Revolution 340
08 ноября 2016, 10:28 +1 Главное, проверить сессию с секретным ключом.Если это будет контекст web, И что это даст? Личные кабинеты теперь никому не давать? А если давать, значит у пользователя будет этот ключ. Мы же здесь авторизованы. Безопасность / Критическая уязвимость в MODX Revolution 340
08 ноября 2016, 10:21 0 $auth = !empty($modx->user) && isset($_REQUEST['HTTP_MODAUTH']) && $_REQUEST['HTTP_MODAUTH'] == $modx->user->getUserToken('mgr'); if (!$auth) {Сергей, то есть ты хочешь, чтобы все коннекторы обязательно были завязаны на контекст mgr и авторизацию в нем? Даже картинки, выводимые через phpThumb? Вообще все? И обновление собственного профиля в админке? Серьезно? Не надо так делать! Безопасность / Критическая уязвимость в MODX Revolution 340
08 ноября 2016, 06:31 0 Так что получается, что xPDO далеко не PDOЖень, а при чем тут это? Это же PDO выполняет запрос к базе данных, а не xPDO. Это он, по идее, должен следить за состоянием запроса и инъекции высматривать. Безопасность / Критическая уязвимость в MODX Revolution 340
07 ноября 2016, 07:15 0 На днях оптимизировал выгрузку одному проекту. 224 категории 13987 товаров. Результат: joxi.ru/brRDO4pfQ54RX2 Smarty+xPDO+процессоры. Вопросы / Время выполнения скрипта 3
07 ноября 2016, 06:56 0 Вот именно по этому я и говорил выше, что я против слишком серьезной безопасности. Сейчас xPDO даже не позволяет FIND_IN_SET() использовать, приходится тоже исхитряться (типа лишних пробелов :)). И если для обеспечения безопасности надо запретить юнионы — я категорически против. Добавить фильтрацию запросов (типа как это в modX::sanitize сделано) — это я не против. Сам xPDO гайки закручивать — против. Безопасность / Критическая уязвимость в MODX Revolution 340
06 ноября 2016, 20:01 0 На сколько я понимаю, друпал уже попробовали. Вроде как не очень вышло. Безопасность / Критическая уязвимость в MODX Revolution 340
06 ноября 2016, 19:23 +1 Тогда расходимся. Безопасность на высоте.Шутка зачтена)) Безопасность / Критическая уязвимость в MODX Revolution 340
06 ноября 2016, 19:15 +4 Я останусь на MODX. Мне он нравится :) Безопасность / Критическая уязвимость в MODX Revolution 340
06 ноября 2016, 19:13 +1 Учим матчасть на тему слепой SQL-injectionХорошо, поверю тебе на слово, что можно в непроцедурный SQL воткнуть какую-то процедуру, чтобы весь перебор прошел на стороне сервера. Это фишка хостераЭто фишка xPDO. Безопасность / Критическая уязвимость в MODX Revolution 340
06 ноября 2016, 19:05 0 Спасибо, но пусть я лучше для тебе останусь теоретиком.Ну ОК, не поспоришь)) Безопасность / Критическая уязвимость в MODX Revolution 340
06 ноября 2016, 19:04 +1 Есть. Ищи в phpthumbЕго я тоже смотрел. Да, он не сильно защищен в плане авторизации, но он жестко закрыт по экшену, вызывается только его процессор. А там получение только картинок. Может какая проблема есть в самом phpThumb, но я его не очень знаю. Безопасность / Критическая уязвимость в MODX Revolution 340
06 ноября 2016, 18:55 +3 Не понимаю, зачем делать проверку на расширения доступные к загрузке, если пользователь может переименовать файл!!! Заливаем .jpg и меняем на .php => PROFIT!А, ну это да, есть такое дело))) Безопасность / Критическая уязвимость в MODX Revolution 340
MiniShop3 1.11.0 при клике на radio идет пересчет итоговой суммы в orderUI, в зависимости от способов(оплаты доставки) я так поняла. попробуй код запуска соб...
ImageOptimizer - WebP/AVIF и responsive <picture> для MODX 3 Дополнение доступно modstore.pro/packages/photos-and-files/imageoptimizer
Localizator3 для MODX 3: перевод полей и TV без отдельного context на язык, Vue 3 + PrimeV... Добавил localizator3_default_language
msInShopNotify Начиная с версии 3.0.0-beta добавлена поддержка MiniShop3 Минимальные требования: PHP 8.4 MODX 3.2 MiniShop3
MaxNotify Обновление 1.2.0-pl (03.07.2026) — добавлены уведомления о заявках FormIt через hook-сниппет `maxNotifyFormIt`; — добавлены ...
[msBonus2] 1.3.0 Бонус-коды, уведомления о сгорании и совместимость с msMultiCurre... Да, планируется. Даже чуть больше, чем просто бонусная система)
FileMan - прикрепление файлов к ресурсам для MODX 3 Добрый день! Может что-то с правами доступа к файлам? Посмотрите логи в modx, в php. С ходу сложно ответить, ранее не было таких случаев.
Лично я не вижу вообще оснований все бросать и переходить на другую систему. Зачем? Чтобы там кто-то знающий пришел и рассказал, что есть дыры? Пойдете на другую платформу? Есть не мало статей написанных как обезопасить MODX. Переведите админку и коннекторы на другой поддомен, закройте его по ip и двухфакторной авторизацией. На фронте дайте одну только точку входа и фильтруйте входящие запросы. Все. Что вам еще надо? Это на серьезных проектах. Простые сайты-визитки делаете? Кому вы нужны? — поменяйте префикс и все.
Это будет касаться практически любого проекта. Я не думаю, что Женя через какое-то время обнаружит дыры и в ларавеле (если еще не нашел).
Значит 70-100 в десятой степени у них выполняется за 300 секунд, а сайты с 1000 документов за 30 секунд не всегда выполняются. Магия какая…
Не надо так делать!
+1
224 категории 13987 товаров.
Результат: joxi.ru/brRDO4pfQ54RX2
Smarty+xPDO+процессоры.
Это фишка xPDO.