Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]
Запрет неавторизованного доступа к процессорам [#13175]
Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]
Может через пару месяцев напишешь про то, как это можно было сделать? Интересно. Ведь даже авторы MODX не сообразили.
Справедливости ради, кабы Николай не поднял эту волну, так и сидели бы ровно за «стеклянной дверью». Да и тебе профит вон какой прилетел. :) И ребят из MODX попинали. 2 года назад ты один их не смог растолкать. А щас толпой навалились и результат почти мгновенный. Даже Марк по-русски заговорил :)) Прогресс на лицо. )
It's great!
I know the man who knows some vulnerabilities of MODX. But he got a not very good experience in communicating with the MODX team. And the MODX community suffer from this misunderstanding between you and him.
Видимо они вовсю пользуются возможностью передавать сырой SQL. Им твоя заплатка поломает сайты.
А на своих сайтах нам надо повесить предупреждение для хакеров, чтобы они не посылали чистые sql запросы, ведь нужно использовать первичные ключи. Так Джейсон сказал!!!
Немного конспирологии… А может они специально оставляют эти дырки по просьбе АНБ. :)
Василий, а так должно быть?
После обновления не мог понять, почему у меня при просмотре любой статьи показывает одни и те же данные о просмотре (только первой).
Не забывай, сейчас выходные. Да ещё Рождество и Новый год скоро… Надеюсь, хотя бы в третьей версии MODX добавят. Осталось набраться терпения. :)
Ибо неведомы автору xPDO наши переживания, чего ему ноги ломать…
Я тоже. В этом плане знаний маловато. Просто исхожу из комментария Евгения
Это проблему не решает. Есть куча точек в хода из различных компонентов, которые оставляют коннекторы в /assets/components/
Насколько я понимаю, именно для этого скрывается папка с коннекторами, а тут лежит в открытом доступе.
Очень хочется, чтобы Евгений успокоил насчет этого.
Думаю, так правильней.
Посмотрел Tickets (только он открыт). mSearch2 и Office обновил не глядя. Данный фикс немного меня успокоил. Я всегда так фильтрую данные в своих компонентах (на всякий ещё проверю все). Я про это даже статью год назад написал. Возможно Евгений её раскритикует, но для обсуждаемого случая она актуальна.
Но этот фикс решает половину проблемы. Что делать с коннектором (connector.php)? Евгений заходит через него. Запрос в ObjectGetProcessor с кривым id и милости просим. MODX это не фильтрует.
Т.е. надо переопределять метод initialize для всех get/update/delete процессоров и фильтровать в нём id.
public function initialize() {
$primaryKey = (int) $this->getProperty($this->primaryKeyField,false);
$this->setProperty($this->primaryKeyField, $primaryKey)
return parent::initialize();
}
Очень хотелось бы услышать мнение Евгения по этому поводу.
П.С. По хорошему, MODX должен в процессоре смотреть мету ключа и фильтровать.
Этот тег отвечает за относительные адреса в ссылках, путях картинок и т.п. Он не влияет на адрес внутренних страниц. Видимо где-то сломана переадресация.
I know the man who knows some vulnerabilities of MODX. But he got a not very good experience in communicating with the MODX team. And the MODX community suffer from this misunderstanding between you and him.
А на своих сайтах нам надо повесить предупреждение для хакеров, чтобы они не посылали чистые sql запросы, ведь нужно использовать первичные ключи. Так Джейсон сказал!!!
Немного конспирологии… А может они специально оставляют эти дырки по просьбе АНБ. :)
После обновления не мог понять, почему у меня при просмотре любой статьи показывает одни и те же данные о просмотре (только первой).
Ибо неведомы автору xPDO наши переживания, чего ему ноги ломать…
Насколько я понимаю, именно для этого скрывается папка с коннекторами, а тут лежит в открытом доступе.
Очень хочется, чтобы Евгений успокоил насчет этого.
Посмотрел Tickets (только он открыт). mSearch2 и Office обновил не глядя. Данный фикс немного меня успокоил. Я всегда так фильтрую данные в своих компонентах (на всякий ещё проверю все). Я про это даже статью год назад написал. Возможно Евгений её раскритикует, но для обсуждаемого случая она актуальна.
Но этот фикс решает половину проблемы. Что делать с коннектором (connector.php)? Евгений заходит через него. Запрос в ObjectGetProcessor с кривым id и милости просим. MODX это не фильтрует.
Т.е. надо переопределять метод initialize для всех get/update/delete процессоров и фильтровать в нём id.
Очень хотелось бы услышать мнение Евгения по этому поводу.
П.С. По хорошему, MODX должен в процессоре смотреть мету ключа и фильтровать.