Новости Joomla

👩‍💻 Плагин микроразметки Schema.org в в пункте меню Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

14 часов назад (на момент публикации заметки) была обнаружена уязвимость в популярном шаблоне-конструкторе Astroid Framework. При атаке на сайт устанавливается бэкдор — системный плагин под названием plg_system_blpayload. Если вы обнаружили этот плагин на своем веб-сайте, значит, он скомпрометирован, и вам необходимо восстановить чистую резервную копию, созданную до установки плагина.

Уязвимость позволяет загружать файлы на сайт и в дальнейшем получить права администратора Joomla.
В рамках атаки (из-за которой и была обнаружена уязвимость) на сайт устанавливался плагин plg_system_blpayload, который при каждой загрузке страницы снаружи он скрытно связывается с (платформой для SEO, работающей на черном рынке (ссылку помещать не будем, просим поверить на слово). Получает список скрытых спам-ссылок (сайты азартных игр, фишинга, мошенничества), подобранный под ваш домен, затем внедряет эти ссылки в HTML-код вашей страницы непосредственно перед рендером - невидимые для посетителей, но полностью читаемые поисковыми роботами. Это называется "отравление SEO" ("отрпавление поисковой выдачи").

Однако, эта уязвимость может использоваться в других целях. Поэтому необходимо срочно проверить ваши сайты, где стоит Astroid Framework и обновить его до версии не ниже 3.3.11. Релиз безопасности выпущен 4 часа назад (на момент написания заметки).

Скачать релиз безопасности Astroid

@joomlafeed

👩‍💻 Вышел Quantum Manager 3.3.0 - медиа менеджер для Joomla.

👩‍💻 Вышел Quantum Manager 3.3.0 - медиа менеджер для Joomla.

Популярный файловый менеджер для Joomla от отечественных разработчиков.

v.3.3.0. Что нового?
- Joomla 6. Компонент полностью совместим с Joomla 6, плагин обратной совместимости не требуется.
- Рефакторинг. Полностью удалён устаревший код, оставшийся в наследство от версий для Joomla 3.
- Новые настройки для SVG. Новые параметры фильтрации SVG-файлов.
- Улучшена безопасная функция предварительного просмотра SVG-файлов. Благодаря новым механизмам фильтрации восстановлена ​​возможность безопасного предварительного просмотра SVG-изображений.
- Исправления ошибок. Исправлены ошибки с данными EXIF ​​и обновлена ​​библиотека EXIF.

Читать новость
Скачать расширение

Также обновление получил плагин пользовательского поля Radicalmultifield для совместимости с новым Quantum Manager.

Репозиторий GitHub
Релиз на GitHub

@joomlafeed

1 2  Все   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 32 Ответов
  • 3529 Просмотров
*

AlekVolsk

  • Гуру
  • 6913
  • 416 / 4
Re: Узнать из фрейма url, где фрейм выводится
« Ответ #30 : 03.02.2015, 00:36:10 »
Не прокатило, $server пуста

upd
нет, не пуста, просто забыл, что отдельный элемент массива - не строка, пришлось дописать
Код: php
$server = (string)$server;
« Последнее редактирование: 03.02.2015, 00:40:47 от AlekVolsk »
Записан
*

AlekVolsk

  • Гуру
  • 6913
  • 416 / 4
Re: Узнать из фрейма url, где фрейм выводится
« Ответ #31 : 02.03.2015, 17:35:01 »
Выявил страшный косяк, который не могу победить, мозг слегка уже потек...

Форма выводится как на основном родительском сайте, где установлен компонент (mysite.ru), так и во фрейме стороннего сайта (partner.ru), url которого необходимо получить.

В форме присутствует поле <input type="hidden" name="partner_server" value="<?php echo $_SERVER['HTTP_REFERER']; ?>" />

В контроллере - обработчике формы:
Код: php
// получаем основное uri, с которого пришла форма, как правило равно
// mysite.ru/index.php?option=com_mycomponent&view=rqform&tmpl=component&key=ключ
$uri = $_SERVER['HTTP_REFERER'];

// получаем URL из поля формы
$partner_server = $this->input->getString('partner_server');

// получаем доменное имя из URL из поля формы
$fact_server = parse_url($partner_server, PHP_URL_HOST);

// получаем родительское доменное имя
$local_server = parse_url(JUri::base(), PHP_URL_HOST);

// если вызов гарантированно из формы с partner.ru, то
if ($fact_server != $local_server) {
 
  // переменная $server в дальнейшем нужна для обработки формы и формирования ответного uri
  $server = (string)$fact_server;

  // к основному uri приписываем параметр server со значением 'partner.ru' (без кавычек, есс-но)
  $uri .= '&server='.$server;

// иначе
} else {

  // получаем переменную $server из URL из поля формы
  parse_str(parse_url($partner_server, PHP_URL_QUERY));
  $server = (string)$server;
}

// тут обработка формы и формирование ответа

// возвращаемся на страницу формы обратно
$this->setRedirect(JRoute::_($uri));

// сообщение ответ
JFactory::getApplication()->enqueueMessage($uri);

Во всех случая возвращаемый ури равен mysite.ru/index.php?option=com_mycomponent&view=rqform&tmpl=component&key=ключ&server=partner.ru

Когда из формы идет первый post, $partner_server = http://partner.ru

В третий и все последующий разы $partner_server = http://mysite.ru/index.php?option=com_mycomponent&view=rqform&tmpl=component&key=ключ&server=partner.ru

А вот во второй раз $partner_server = http://mysite.ru/index.php?option=com_mycomponent&view=rqform&tmpl=component&key=ключ - отсутствует должный находится там &server=partner.ru, ПОЧЕМУ ЕГО ТАМ НЕТ? хотя во всех случаях в enqueueMessage в $uri этот параметр существует!
Записан
*

AlekVolsk

  • Гуру
  • 6913
  • 416 / 4
Re: Узнать из фрейма url, где фрейм выводится
« Ответ #32 : 02.03.2015, 23:13:40 »
Было решено совместно с zomby6888 при личной консультации, спс ему большое!
Решение:
в контроллере:
Код: php
    $uri = $_SERVER['HTTP_REFERER'];
    $partner_server = urldecode($this->input->getString('partner_server'));
    if (!strpos($uri, 'server')) {
      $server = (string)parse_url($partner_server, PHP_URL_HOST);
      $uri .= '&server='.urlencode($server);
    } else {
      $server = (string)$partner_server;
    }
в форме:
Код: php-brief
<input type="hidden" name="partner_server" value="<?php $ref = isset($_GET['server'])? $_GET['server'] : urlencode($_SERVER['HTTP_REFERER']); echo $ref; ?>" />
Записан
1 2  Все   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Баг. В модуле выводится значение параметра из другого модуля

Автор fbr

 Ответов: 10
Просмотров: 1170 		Последний ответ 18.04.2021, 21:34:10
от fbr
[Решено] Узнать какие плагины загружены

Автор lexx006

 Ответов: 3
Просмотров: 2247 		Последний ответ 20.07.2015, 09:55:54
от lexx006
Как узнать количество запросов к бд?

Автор indigo

 Ответов: 1
Просмотров: 1717 		Последний ответ 31.07.2013, 23:39:35
от smart
Как с помощью jquery или javascript узнать зашол ли некий обьект за скрол или нет?

Автор kontrast

 Ответов: 0
Просмотров: 1511 		Последний ответ 26.02.2013, 18:45:35
от kontrast