Новости Joomla

Перевод и публикация интервью на греческом портале Joomla Утро, просматриваешь входящие письма и...

Перевод и публикация интервью на греческом портале Joomla 🇬🇷Утро, просматриваешь входящие письма и изучаешь новости и внезапно обнаруживаешь, что инициатива, которую ты начал, подхватывается другими людьми. 🎉Недавно я взял интервью у Билла (Василиса) Коциаса - руководителя студии, читающего лекции в университете и популяризатора Joomla в Греции.Это интервью из журнала NorrNext, в оригинале на английском, теперь доступно на греческом языке и опубликовано на портале joomla.gr. 🎉До чего же приятно… 😇😊 Работа замечена и с ней посчитали необходимым ознакомить аудиторию страны, в которой Билл читает лекции. И это солнечная Греция - страна, страна, с которой Россию многое связывает. 🇬🇷🇷🇺🕊Смотрю на греческий алфавит и тут же рисуются картины белоснежных зданий в окружении винограда и амфор, красивых женщин в сандалиях и мужественных воинов, охраняющих покой полисов, в которых ученые мужи работают над трудами, позже вошедшими в века. Красиво! 😇Но вернемся к интервью. Из него вы узнаете, что в Греции доля Joomla среди CMS занимает порядка 30-40%. По моему мнению это - самый высокий показатель во всем мире. Также чтение лекций о Joomla в университетах позволит привести новых пользователей и к тому же молодое поколение. Ну и огромное кол-во сертификтатов Билла на стене (смотрим фото в статье) свидетельствует о том, что Joomla может применяться как профессиональный инструмент. 🇬🇷 Интервью на греческом портале (joomla.gr)🌐 Оригинальное интервью (на английском)Что насчет перевода на русский? Увы, времени всего 24 часа в сутках. Я продолжаю готовить новые интервью. Возможно, после завершения выпуска журнала, рассмотрю перевод некоторых интервью на русский. Но я об этом не говорил. 😊 В блоге @eugenius_blog публикую анонсы интересных событий из мира Joomla, интервью, уроки и полезные советы, а также делюсь мыслями:, связанными с разработкой и веб-дизайном.

Обработка HTTP ответа в Joomla 6+. Изменения по сравнению с Joomla 3 - Joomla 5

👩‍💻 Обработка HTTP ответа в Joomla 6+. Изменения по сравнению с Joomla 3 - Joomla 5.В Joomla для выполнения внешних запросов из PHP к сторонним API используется класс Joomla\Http\Http напрямую или же Joomla\Http\HttpFactory, который возвращает для работы преднастроенный по умолчанию класс Http. О работе с HTTP-запросами подробно рассказывалось в статье 2021 года Создание внешних запросов с использованием HttpFactory (Joomla). Некоторые изменения касаются работы с ответами на запросы. Например, наш запрос:
use Joomla\Http\HttpFactory;$http = (new HttpFactory)->getHttp($options, ['curl', 'stream']);$response = $http->get('https://any-url.ru/api/any/endpoint');
Раньше можно было получить код ответа или тело ответа как свойство $response - $response->code или $response->body. Однако, Joomla, начиная с Joomla 4 во многом переходит на стандарты PSR. В частности для работы с HTTP-ответами - на PSR-7. Также хорошая статья на Хабре о PSR-7: PSR-7 в примерах.
Прямое обращение к свойствам code, headers, body объявлено устаревшим в Joomla 6.0.0 и обещают удалить в Joomla 7.0.0.
Вместо этого нужно работать с HTTP-ответом по стандартам PSR-7. Код ответа.Было $response->code. Стало $response->getStatusCode().Заголовки ответа.Было $response->headers. Стало $response->getHeaders().Тело ответа.Было $response->body. Стало (string)$response->getContents().В тело ответа теперь приходит не строка, а поток - объект класса Laminas\Diactoros\Stream. Поэтому его нужно привести к строке (если это json, к примеру): (string)$response->getContents(). Чаще всего в коде Joomla встречается именно такой вариант. Однако, есть и вариант с перемещением указателя чтения на начало потока:
// Получили ответ в виде потока$stream = $response->getBody();// "перемотали" на начало$stream->rewind();// Получили строковый ответ$json = $stream->getContents();
В итоге результат одинаковый.@joomlafeed#joomla #разработка #php

Quantum Manager нужен сообществу, а автору нужна ваша поддержка!

Quantum Manager нужен сообществу, а автору нужна ваша поддержка!Файловый менеджер Quantum — одно...

Файловый менеджер Quantum — одно из самых популярных решений для Joomla, созданное разработчиком из сообщества Joomla, Дмитрием Цымбалом (@tsymbalmitia). Он делает Quantum удобным, безопасным и современным, обновляет его, исправляет уязвимости и отвечает пользователям — всё это в свободное от основной работы время.

Теперь настал момент для следующего шага: развитие проекта требует больше времени и ресурсов.

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 10 Ответов
  • 3897 Просмотров
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Уязвимость RSForm Pro 1.50-1.52
« : 22.11.2016, 02:57:57 »
Тут айболит заявляет что RSForm Pro уязвим
Цитировать
/administrator/components/com_rsform/helpers/rsform.php - RCE : RSForm : RSForm.php, LINE 1605

Изначально на версии 1.50, обновление на 1.52 проблему не решило.
Странно, но не могу найти никакой инфорации об этой уязвимости.
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #1 : 22.11.2016, 03:02:19 »
Нашел кое-что
Цитата: winstrool
Заливка шелла через RSForm! Pro тестировал на версии 1.50.0

Требуются админские права!

В админке переходим: Компоненты-> RSForm! Pro -> Управление формами -> (Выбираем любую форму) -> Свойства -> Скрипты (Сценарии выполнения программы)
в первое же поле вбиваем phpinfo(); и профит!

Скрипт выполняющий код:

administrator\components\com_rsform\helpers\rsform.php - 1981 строчка
eval($form->ScriptDisplay);

Запись для выполнения кода заносятся в таблицу JOS__rsform_forms в колонки ScriptProcess, ScriptProcess2, ScriptDisplay
Таким образом мы можем спрятать бегдор в БД!
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #2 : 22.11.2016, 03:22:55 »
Если я правильно понял, необходимо в формах в админке проверить поля JavaScript на предмет вставленного кода.
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #3 : 23.11.2016, 15:14:17 »

Цитата: voland от 22.11.2016, 03:22:55
Если я правильно понял, необходимо в формах в админке проверить поля JavaScript на предмет вставленного кода.
Там поля php скрипты. Их там аж 3
1. Скрипт, вызываемый при отображении формы - Строка $formLayout содержит HTML код формы.
2. Скрипт, вызываемый при обработке формы - Тут можно изменить $_POST данные формы до того, как они попадут в базу данных.
3. Скрипт, вызываемый после обработки формы - Строка $thankYouMessage содержит HTML код сообщения благодарности.

Если я привильно понял (кстати первоитоник бы)
Требуются админские права! - это тут основное. А с ними можно творить что угодно.
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #4 : 23.11.2016, 15:30:20 »
Цитата: Septdir от 23.11.2016, 15:14:17
кстати первоитоник бы
Первоисточник чего?
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #5 : 23.11.2016, 15:44:48 »
Цитата: voland от 23.11.2016, 15:30:20
Первоисточник чего?
Целиком всмыле
Цитата: winstrool
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #6 : 23.11.2016, 15:46:12 »
Цитата: Septdir от 23.11.2016, 15:14:17
Требуются админские права! - это тут основное. А с ними можно творить что угодно.
админские и суперадминские - это разные вещи :)
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #7 : 23.11.2016, 15:47:45 »
Цитата: dmitry_stas от 23.11.2016, 15:46:12
админские и суперадминские - это разные вещи :)
Ну это смотря как настроены =) особено в цвете админа с супер админсики правами
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #8 : 23.11.2016, 15:52:52 »
Цитата: Septdir от 23.11.2016, 15:47:45
Ну это смотря как настроены =)
именно поэтому это и есть уязвимость :) например, даешь человеку доступ в админку с правами только просмотра, а он получает полный доступ.
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #9 : 23.11.2016, 16:25:12 »
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #10 : 23.11.2016, 19:53:04 »
Цитата: dmitry_stas от 23.11.2016, 15:52:52
именно поэтому это и есть уязвимость :) например, даешь человеку доступ в админку с правами только просмотра, а он получает полный доступ.
Ну вот кстати, надо давиче посмотреть что там по правам у rs погонять те или настройки.
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Заявки падают всегда в спам при оформлении заявки через RSForm

Автор stitch808

 Ответов: 7
Просмотров: 2400 		Последний ответ 31.01.2024, 16:51:58
от stitch808
Калькулятор на RSForm. Вопрос по JS

Автор ukrart

 Ответов: 3
Просмотров: 2997 		Последний ответ 18.08.2022, 11:48:44
от sivers
Правила валидации полей RSForm Pro

Автор Anvari6120

 Ответов: 0
Просмотров: 2750 		Последний ответ 26.07.2022, 19:02:44
от Anvari6120
Прикрипление файлов в форме RSForm

Автор stitch808

 Ответов: 0
Просмотров: 2850 		Последний ответ 28.03.2022, 17:34:40
от stitch808
RSForm макеты отображаются без отступов по всей ширине экрана

Автор pechenye

 Ответов: 0
Просмотров: 2861 		Последний ответ 08.02.2022, 18:39:35
от pechenye