Новости Joomla

Вышли релизы Joomla 5.1.0 и Joomla 4.4.4

Проблема с id в URL материалов Joomla при обновлении большого старого сайта до Joomla 5

В старых версиях Joomla URL адрес формировался по схеме [id материала + алиас материала]. Например, 145-my-article-alias. Однако. старый роутер Joomla был не идеален и плодил дубли страниц, с чем усиленно боролись СЕО специалисты с помощью различных плагинов и хаков ядра CMS.

Используем поля Joomla для фильтрации материалов

Перевод статьи одного из разработчиков ядра Joomla Брайана Тимэна (Brian Teeman).

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 10 Ответов
  • 3712 Просмотров
*

voland

  • Легенда
  • 11030
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Уязвимость RSForm Pro 1.50-1.52
« : 22.11.2016, 02:57:57 »
Тут айболит заявляет что RSForm Pro уязвим
Цитировать
/administrator/components/com_rsform/helpers/rsform.php - RCE : RSForm : RSForm.php, LINE 1605

Изначально на версии 1.50, обновление на 1.52 проблему не решило.
Странно, но не могу найти никакой инфорации об этой уязвимости.
Записан
*

voland

  • Легенда
  • 11030
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #1 : 22.11.2016, 03:02:19 »
Нашел кое-что
Цитата: winstrool
Заливка шелла через RSForm! Pro тестировал на версии 1.50.0

Требуются админские права!

В админке переходим: Компоненты-> RSForm! Pro -> Управление формами -> (Выбираем любую форму) -> Свойства -> Скрипты (Сценарии выполнения программы)
в первое же поле вбиваем phpinfo(); и профит!

Скрипт выполняющий код:

administrator\components\com_rsform\helpers\rsform.php - 1981 строчка
eval($form->ScriptDisplay);

Запись для выполнения кода заносятся в таблицу JOS__rsform_forms в колонки ScriptProcess, ScriptProcess2, ScriptDisplay
Таким образом мы можем спрятать бегдор в БД!
Записан
*

voland

  • Легенда
  • 11030
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #2 : 22.11.2016, 03:22:55 »
Если я правильно понял, необходимо в формах в админке проверить поля JavaScript на предмет вставленного кода.
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #3 : 23.11.2016, 15:14:17 »

Цитата: voland от 22.11.2016, 03:22:55
Если я правильно понял, необходимо в формах в админке проверить поля JavaScript на предмет вставленного кода.
Там поля php скрипты. Их там аж 3
1. Скрипт, вызываемый при отображении формы - Строка $formLayout содержит HTML код формы.
2. Скрипт, вызываемый при обработке формы - Тут можно изменить $_POST данные формы до того, как они попадут в базу данных.
3. Скрипт, вызываемый после обработки формы - Строка $thankYouMessage содержит HTML код сообщения благодарности.

Если я привильно понял (кстати первоитоник бы)
Требуются админские права! - это тут основное. А с ними можно творить что угодно.
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

voland

  • Легенда
  • 11030
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #4 : 23.11.2016, 15:30:20 »
Цитата: Septdir от 23.11.2016, 15:14:17
кстати первоитоник бы
Первоисточник чего?
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #5 : 23.11.2016, 15:44:48 »
Цитата: voland от 23.11.2016, 15:30:20
Первоисточник чего?
Целиком всмыле
Цитата: winstrool
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #6 : 23.11.2016, 15:46:12 »
Цитата: Septdir от 23.11.2016, 15:14:17
Требуются админские права! - это тут основное. А с ними можно творить что угодно.
админские и суперадминские - это разные вещи :)
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #7 : 23.11.2016, 15:47:45 »
Цитата: dmitry_stas от 23.11.2016, 15:46:12
админские и суперадминские - это разные вещи :)
Ну это смотря как настроены =) особено в цвете админа с супер админсики правами
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #8 : 23.11.2016, 15:52:52 »
Цитата: Septdir от 23.11.2016, 15:47:45
Ну это смотря как настроены =)
именно поэтому это и есть уязвимость :) например, даешь человеку доступ в админку с правами только просмотра, а он получает полный доступ.
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

voland

  • Легенда
  • 11030
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #9 : 23.11.2016, 16:25:12 »
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Уязвимость RSForm Pro 1.50-1.52
« Ответ #10 : 23.11.2016, 19:53:04 »
Цитата: dmitry_stas от 23.11.2016, 15:52:52
именно поэтому это и есть уязвимость :) например, даешь человеку доступ в админку с правами только просмотра, а он получает полный доступ.
Ну вот кстати, надо давиче посмотреть что там по правам у rs погонять те или настройки.
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Заявки падают всегда в спам при оформлении заявки через RSForm

Автор stitch808

 Ответов: 7
Просмотров: 458 		Последний ответ 31.01.2024, 16:51:58
от stitch808
Калькулятор на RSForm. Вопрос по JS

Автор ukrart

 Ответов: 3
Просмотров: 1288 		Последний ответ 18.08.2022, 11:48:44
от sivers
Правила валидации полей RSForm Pro

Автор Anvari6120

 Ответов: 0
Просмотров: 1217 		Последний ответ 26.07.2022, 19:02:44
от Anvari6120
Прикрипление файлов в форме RSForm

Автор stitch808

 Ответов: 0
Просмотров: 1293 		Последний ответ 28.03.2022, 17:34:40
от stitch808
RSForm макеты отображаются без отступов по всей ширине экрана

Автор pechenye

 Ответов: 0
Просмотров: 1330 		Последний ответ 08.02.2022, 18:39:35
от pechenye