Чем чреват прямой вызов скрипта? - Безопасность сайтов на Joomla - Форум русской поддержки Joomla!

Новости Joomla

Вышли релизы безопасности Joomla 6.1.1 и Joomla 5.4.6

Релиз безопасности Joomla 6.1.1 и Joomla 5.4.6

Проект Joomla! рад сообщить о выходе Joomla 6.1.1 и Joomla 5.4.6. Это релизы безопасности и исправления ошибок для серий 5.x и 6.x.

👩‍💻 JoomShopping: Самый полный курс по созданию интернет-магазина на CMS Joomla.

👩‍💻 JoomShopping: Самый полный курс по созданию интернет-магазина на CMS Joomla.

В открытый доступ выложен видео-курс Дмитрия Гончарова по созданию интернет-магазина на связке Joomla + JoomShopping. Видеоуроки содержат пошаговые инструкции от регистрации хостинга до особенностей вёрстки, настройки способов оплаты и доставки.

В видео фигурирует JoomShopping 4 и Joomla 3, однако JoomShopping довольно консервативный компонент и многие способы и подходы в нём не менялись годами, поэтому данные видео могут быть по прежнему полезны.

Смотреть видео-курс

@joomlafeed

👩‍💻 SM WT CDEK аддон доставки для JoomShopping.

👩‍💻 SM WT CDEK аддон доставки для JoomShopping.

Способ доставки для интернет-магазина JoomShopping. Работает с API CDEK v.2. Считает стоимость доставки, позволяет выбрать пункт выдачи заказа CDEK на карте, отображает полную информацию о ПВЗ в заказе. Для работы аддона необходимо установить и настроить библиотеку WT CDEK.

👉 v.1.3.4. Что нового?
- Скидки на доставку. Добавлены настройки скидок на доставку в зависимости от суммы заказа. Также можно выбрать какую цену использовать: до применения купона или после.
- Фиксированная наценка. Добавлено поле для фиксированной наценки на доставку в интерфейс цены на доставку.
- Локализация. Сделаны файлы локализации. Русский и английский языки.
- Рефакторинг и чистка кода. Приблизили код к стандартам.

Страница расширения

@joomlafeed

1 Вниз

0 Пользователей и 1 Гость просматривают эту тему.

17 Ответов
3575 Просмотров

Zzet

Осваиваюсь на форуме
10
0 / 0

Чем чреват прямой вызов скрипта?

« : 20.02.2011, 21:18:17 »

Сделал на сайте форму отправки данных с капчей. На на кнопку "отправить" пишу такой код:
.....................
<img src='Scripts/capcha.php' id='capcha-image'>
<br />
<a href="javascript:void(0);" onclick="document.getElementById('capcha-image').src='Scripts/capcha.php?rid=' + Math.random();">
<small>показать более понятную картинку</small></a>
<br />
<br />
<span>Введите пожалуйста символы с картинки:</span>
<br /><input type="text" name="code" maxlength="6">
<br />
<P><input type="submit" name="go" value="Оптравить"/></P>
....................
Все работает нормально. Но как видно из свойств генерируемой картинки CAPTCHA, можно вызвать скрипт напрямую обратившись к нему:
http://mysite.ru/Scripts/capcha.php
Если в этот скрипт вставить стандартную защиту: defined('_JEXEC') or die('Низзя!'); То картинка просто не рисуется, так как форма обращается к скрипту напрямую.

Я наверное что-то недопонимаю, помогите пожалуйста. Чем чревато отсутствие в скрипте строчки defined('_JEXEC') or die('Низзя!'); ?
Как правильно сделать в моем случае? Или можно незаморачиваться этим?

Записан

palexa

Завсегдатай
1108
88 / 0

Re: Чем чреват прямой вызов скрипта?

« Ответ #1 : 20.02.2011, 21:24:51 »

а не замарачивайтесь, выкинте свой файл и используйте какой то компонент - Генератор форм
например CK Forms или что то подобное под Ваши нужды
безопасность дороже

Записан

Разработка и создание сайта

Zzet

Осваиваюсь на форуме
10
0 / 0

Re: Чем чреват прямой вызов скрипта?

« Ответ #2 : 20.02.2011, 22:56:13 »

Я с FF провозился несколько дней, но так и не смог вставить нужные скрипты куда мне нужно. Оказалось проще и быстрее написать форму самому, чем юзать компонент.
В своей форме хоть точно знаешь что и как работает. Вот, ток вот этот нюанс смущает...

Записан

voland

Легенда
11026
588 / 112
Эта строка съедает место на вашем мониторе

Re: Чем чреват прямой вызов скрипта?

« Ответ #3 : 20.02.2011, 23:03:15 »

Ну если делать проверки на входящие данные полноценные то можно и без этой строчки в принципе.
Еще можно делать проверку referrer, но это не панацея

Записан

Почему не стоит регистрировать домены у хостера!! | Рекомендую хостеров:
ihc.ru — код K4AZQGKQOJ дает скидку 10%, | timeweb
Удалю вирусы, закрою уязвимости + доработки,SEO и оферта | Патчи 1.5\2.5, <3.4.6 УЯЗВИМЫ! | Поблагодарить

ART-DELI

Давно я тут
801
75 / 9
Не успеешь ты – сделают другие.

Re: Чем чреват прямой вызов скрипта?

« Ответ #4 : 20.02.2011, 23:08:02 »

Все зависит от фильтрации входных данных capcha.php как уже сказали..
Но не думаю что боты так далеко пойдут..

Записан

voland

Легенда
11026
588 / 112
Эта строка съедает место на вашем мониторе

Re: Чем чреват прямой вызов скрипта?

« Ответ #5 : 20.02.2011, 23:14:14 »

Так не ботов речь, а про уязвимость для взлома сайта.
Взлом через капчу кстати - далеко не редкость

Записан

Почему не стоит регистрировать домены у хостера!! | Рекомендую хостеров:
ihc.ru — код K4AZQGKQOJ дает скидку 10%, | timeweb
Удалю вирусы, закрою уязвимости + доработки,SEO и оферта | Патчи 1.5\2.5, <3.4.6 УЯЗВИМЫ! | Поблагодарить

ART-DELI

Давно я тут
801
75 / 9
Не успеешь ты – сделают другие.

Re: Чем чреват прямой вызов скрипта?

« Ответ #6 : 20.02.2011, 23:17:08 »

Интересно... как можно взломать сайт через карпчу?: Ведь дело не в капче, а фильтрации данных... но это вроде уже понятно как 2+2

Записан

Zzet

Осваиваюсь на форуме
10
0 / 0

Re: Чем чреват прямой вызов скрипта?

« Ответ #7 : 21.02.2011, 10:06:37 »

Цитата: ART-DELI от 20.02.2011, 23:17:08

Ведь дело не в капче, а фильтрации данных... но это вроде уже понятно как 2+2

Вот не понятно, если честно:) Объясни, плис, как и что в моем случае надо фильтровать?

Записан

ART-DELI

Давно я тут
801
75 / 9
Не успеешь ты – сделают другие.

Re: Чем чреват прямой вызов скрипта?

« Ответ #8 : 21.02.2011, 10:15:37 »

Цитата: Zzet от 21.02.2011, 10:06:37

Вот не понятно, если честно:) Объясни, плис, как и что в моем случае надо фильтровать?

Ну вот что у вас происходит после нажатия на кнопку "отправить". ?

Записан

Zzet

Осваиваюсь на форуме
10
0 / 0

Re: Чем чреват прямой вызов скрипта?

« Ответ #9 : 21.02.2011, 10:29:22 »

Цитата: ART-DELI от 21.02.2011, 10:15:37

Ну вот что у вас происходит после нажатия на кнопку "отправить". ?

Одну переменную обрабатываю своим скриптом и вывожу результат, а остальные с формы записываю в базу.

Записан

b2z

Глобальный модератор
7288
778 / 0
Разраблю понемногу

Re: Чем чреват прямой вызов скрипта?

« Ответ #10 : 21.02.2011, 10:34:18 »

Цитата: Zzet от 21.02.2011, 10:29:22

Одну переменную обрабатываю своим скриптом и вывожу результат, а остальные с формы записываю в базу.

Ну так и фильтруйте то, что пишите в базу. Единственный взлом, который тут возможен - это MySQL Injection. Просто входящие переменные обезопасьте перед записью в базу.

Записан

Компонент голосования за фотографии и видео | Создай свой облачный SSD сервер за 55 секунд | Изучаем HTML и CSS с нуля

Zzet

Осваиваюсь на форуме
10
0 / 0

Re: Чем чреват прямой вызов скрипта?

« Ответ #11 : 21.02.2011, 14:26:24 »

Всем спасибо:)
Сорняк сомнения был благополучно вырван и растоптан:)

Записан

SmokerMan

Гуру
5290
720 / 26

Re: Чем чреват прямой вызов скрипта?

« Ответ #12 : 21.02.2011, 14:31:37 »

Цитата: Zzet от 20.02.2011, 21:18:17

Если в этот скрипт вставить стандартную защиту: defined('_JEXEC') or die('Низзя!');

чем это отличается от этого?

Код

define( '_JEXEC', 1 );
defined('_JEXEC') or die('Низзя!');

Записан

Zzet

Осваиваюсь на форуме
10
0 / 0

Re: Чем чреват прямой вызов скрипта?

« Ответ #13 : 22.02.2011, 11:37:31 »

SmokerMan, сори, я не понял вопроса. При чем тут отличается? Константа _JEXEC определяется в index.php

Записан

SmokerMan

Гуру
5290
720 / 26

Re: Чем чреват прямой вызов скрипта?

« Ответ #14 : 22.02.2011, 11:42:11 »

Цитата: Zzet от 22.02.2011, 11:37:31

SmokerMan, сори, я не понял вопроса. При чем тут отличается? Константа _JEXEC определяется в index.php

поэтому и написал, потому что смысла нету ставить эту проверку, т.к. это отдельный скрипт.

Записан

Zzet

Осваиваюсь на форуме
10
0 / 0

Re: Чем чреват прямой вызов скрипта?

« Ответ #15 : 22.02.2011, 11:54:06 »

SmokerMan, а как тогда, в моем случае, подстраховаться от вызова моих скриптов по ссылке такого вида: http:мойсайт/myscript.php ?

Записан

ART-DELI

Давно я тут
801
75 / 9
Не успеешь ты – сделают другие.

Re: Чем чреват прямой вызов скрипта?

« Ответ #16 : 22.02.2011, 11:58:10 »

Можно через htacces запретить прямой вызов скриптов.
Ну и снова же...
в файле где подключается скрипт -

Код

define( '_JEXEC', 1 );

В скрипте который подключается

Код

if( ! defined( '_JEXEC' ) ) {
	die( "Низя!" );
}

Хотя я всегда обвертываю весь скрипт в

Код

if(defined( '_JEXEC' ) ) {
//Код
}
else {
print 'Низя!';
}

Записан

Zzet

Осваиваюсь на форуме
10
0 / 0

Re: Чем чреват прямой вызов скрипта?

« Ответ #17 : 22.02.2011, 12:12:01 »

ART-DELI спасибо, чот я не подумал что так можно, буду знать:)
(я лишь учусь:)

Записан

1 Вверх

Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться

Похожие темы

пытаюсь Вылечить сайт на 2, 5 от вредоносного скрипта Автор inspire	Ответов: 8 Просмотров: 1440	12.01.2017, 14:15:55 от vipiusss
Появление скрипта Автор uisr	Ответов: 42 Просмотров: 5059	13.12.2016, 11:36:04 от SeBun
Безопасность самописного скрипта или (ваш вариант) Автор usemind	Ответов: 3 Просмотров: 2051	08.09.2014, 11:12:40 от usemind
2 вирусных скрипта на сайте Автор dream144	Ответов: 2 Просмотров: 1372	19.08.2014, 08:17:57 от draff