Новости Joomla

Обновление модуля WT Quick links v.2.3

Обновление модуля WT Quick links v.2.3

Обновление модуля WT Quick links v.2.3.0Модуль позволяет создавать быстрые наборы элементов: ссылки на различные сущности на сайте Joomla: категории материалов, Virtuemart, JoomShopping, пункт меню или пользовательскую ссылку. Есть условия для исключений показа элементов списка.Вы можете создавать собственные макеты вывода модуля, создавая таким образом почти всё, что угодно: от простого списка ссылок до стены фотографий на главную страницу или ссылки-теги для перелинковки категорий интернет-магазина. Модуль позволяет выводить изображения, адаптивные изображения, видео, адаптивные видео. Также это могут быть не только ссылки, но и список вопросов FAQ, элементы Bootstrap Tabs, Accordion и т.д.v.2.3.0 Что нового?- Собственные макеты для ссылокТеперь для каждой ссылки можно указать собственный макет из папки

/tmpl/sublayout/. Для использования модуля в этом режиме, необходимо выбрать макет модуля -
default-sublayouts или создать собственный вариант этого макета. - Обработка плагинами контентаСодержимое поля Дополнительный текст для ссылки теперь обрабатывается плагинами контента.- Поле примечанияДобавлено поле примечания для ссылки. Это удобно ориентации в большой форме.- Рефакторинг кодаПроведена чистка и улучшения кода.Страница расширенияGitHub#расширения #virtuemart #JoomShopping

joomLab Icon Module: иконки к заголовку модуля

Плагин вставки языковых констант в контент Joomla

Плагин вставки языковых констант в контент Joomla.Плагин позволяет вставлять значения языковых констант в статьи, модули и другой контент Joomla с помощью синтаксиса
{langos LANGUAGE_CONSTANT}.При создании мультиязычного сайта на Joomla вы часто сталкиваетесь с ситуацией:
Нужно изменить всего несколько слов в модуле или статье в зависимости от языка — но приходится создавать отдельные копии контента для каждой языковой версии. Это неудобно и требует лишних усилий.👩‍💻 Решением проблемы становится плагин Langos.Langos позволяет вставлять языковые константы прямо в контент с помощью простого синтаксиса:
{langos YOUR_LANGUAGE_CONSTANT}
Это работает как вызов
\Joomla\CMS\Language\Text::_('YOUR_LANGUAGE_CONSTANT'), но без необходимости программировать или редактировать шаблоны.Кроме того, плагин поддерживает загрузку языковых файлов конкретных расширений, например модулей или компонентов. Для этого просто укажите третий аргумент в шорткоде:
{langos MOD_FOOTER_LINE1, mod_footer}
Теперь плагин загрузит языковую константу из соответствующего языкового файла именно этого расширения.Ключевые особенности плагина🚀 Результаты работы плагина сохраняются в кэше, что положительно влияет на производительность сайта🔁 Совместим с Joomla Cache, JotCache и другими популярными системами кэширования🧩 Вставка языковых констант в любые элементы контента: статьи, модули и т.д.🌐 Полная интеграция с системой мультиязычности Joomla🔌 Работает «из коробки» с любыми стандартными типами контента🛠 Не требует навыков программирования🧪 Подходит для использования визуальными редакторами и не-программистами📦 Поддержка загрузки языковых файлов конкретных расширений🎯 Идеален для динамической замены текста в разных языкахСистемные требованияJoomla >=4.2 | 5.xPHP >= 7.4Разработчик плагина - участник нашего сообщества Артём Васильев (@kernusr). Скачать плагин с GitHub и документация.#joomla #расширения

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 26 Ответов
  • 2014 Просмотров
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Лезет спам и создает объявления без названия
« : 09.09.2015, 23:41:49 »
В настройках стоит что название - обязательное поле. И когда я пытаюсь создать объявление - мне грят, мол, нужно ввести. При этом иногда пролазиет спам и создает обьявления без темы. Как ему это удается?
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #1 : 10.09.2015, 09:48:28 »
Запись в базу в обход скриптов.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Лезет спам и создает объявления без названия
« Ответ #2 : 10.09.2015, 11:31:00 »
уязвимость  AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html
Записан
*

max_1985

  • Давно я тут
  • 611
  • 56 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #3 : 10.09.2015, 11:33:59 »
Цитата: Sergey2 от 09.09.2015, 23:41:49
В настройках стоит что название - обязательное поле. И когда я пытаюсь создать объявление - мне грят, мол, нужно ввести. При этом иногда пролазиет спам и создает обьявления без темы. Как ему это удается?
Поставьте чтоб объявления могли подавать только зарегистрированные пользователи + CAPTCHA
Записан
*

max_1985

  • Давно я тут
  • 611
  • 56 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #4 : 10.09.2015, 11:37:17 »
Цитата: draff от 10.09.2015, 11:31:00
уязвимость  AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html
В последней версии эта проблема решена.
Записан
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #5 : 10.09.2015, 14:59:55 »
Цитата: max_1985 от 10.09.2015, 11:33:59
Поставьте чтоб объявления могли подавать только зарегистрированные пользователи + CAPTCHA
CAPTCHA стоит, а незарегестрированных отсекать не хочется
Записан
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #6 : 10.09.2015, 15:05:15 »
Цитата: draff от 10.09.2015, 11:31:00
уязвимость  AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html
У меня стоит версия 3.1.1. По крайней мере так пишет в управлении расширениями. В самом AdsManager пишут 3.1.0. Но вот это изменение у меня есть: http://www.joomprod.com/news/273-security-issue-file-upload-vulnerability-on-old-version.html
Кроме того установлен скрипт от SQL иньекций. Не панацея, конечно, но все же. Папка tmp у меня вынесена за пределы сайты. И папка pluload отсутсвует.
Прогнал сайт айболитом - нет ничего :(
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #7 : 10.09.2015, 16:19:41 »
Цитата: Sergey2 от 10.09.2015, 15:05:15
Прогнал сайт айболитом - нет ничего :(
Айболит не панацея. Он видит залитые скрипты, а не баги. Да и скрипты не все... Недавно клиент прислал письмо - аномальный трафик, хостер предупредил. Полез смотреть. Joomla 3.4.4, Кunena 4.0.5, PhocaGallery не помню какая... Все, больше расширений никаких. Прогнал айболитом - ругнулся на файл с картинкой, глянул исходник - пусто. Зато в index.php кто то воткнул запакованный обсуфицированный код шелла. Вот как? Добавил правила в .htaccess, код удалили, но сам факт взлома настораживает...
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #8 : 10.09.2015, 16:27:42 »
Я понимаю что не панацея. что баги он не видит. Кстати. Мне каждый раз приходит письмо о размещении обьявления. И про эти обьявления без темы тоже приходит. т.е. это не sql иньекция, а именно рзамещения обьявления.
Пойду в логах посмотрю, может найду че интересное.
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #9 : 10.09.2015, 16:38:33 »
Цитата: Sergey2 от 10.09.2015, 16:27:42
т.е. это не sql иньекция, а именно рзамещения обьявления
Что бы писать в базу, не обязательно использовать иньект, можно использовать и штатные скрипты. Например, подделка данных формы, когда на сервер отправляется пакет, как будто он был отправлен из формы добавления сообщения. Или может быть даже этот пакет шлется в ту часть кода, где происходит запись в базу (сталкивался и с таким г...кодом).
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #10 : 10.09.2015, 17:11:58 »
В логах все нормально. Похоже, действительно, проверка на обязательное поле идет только на форме. Если запрос руками формировать, то можно пустым оставить
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Лезет спам и создает объявления без названия
« Ответ #11 : 10.09.2015, 17:31:44 »
А что в компоненте не проверяется Token ?
Есть в форме ?
Код
<?php echo JHTML::_( 'form.token' ); ?>
Записан
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #12 : 10.09.2015, 17:35:32 »
Я внутрь не лазил так глубоко. Раньше в Opera можно было подправить код страницы и тут же отобразить, а сейчас такую возможность убрали. Удобно было формы править :)
Токен, скорее всего, проверяется, как минимум CAPTCHA то работает. Но по логам там сначала открывается страницы добавления обьявления, то есть токен получается, а потом следует добавление объявления.
Записан
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #13 : 10.09.2015, 17:36:25 »
да, такая строка есть
Записан
*

Grendy

  • Захожу иногда
  • 247
  • 26 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #14 : 10.09.2015, 18:44:15 »
Цитата: Sergey2 от 10.09.2015, 16:27:42
Мне каждый раз приходит письмо о размещении обьявления. И про эти обьявления без темы тоже приходит.

Всё правильно. То, что вы видите при попытке отправить объявление с пустой «темой», — результат проверки формы посредством Javascript. Javascript исполняется на компьютере клиента. Если в настройках браузера Javascript отключен, «ругаться» на незаполненность поля браузер не будет. А если использовать для добавления объявлений какой-нибудь скриптик (на Python достаточно нескольких строчек кода), то и вовсе от проверок на Javascript толку никакого. Нужно проверять данные повторно на сервере, о чём разработчики видимо пока не додумались или предлагают это в платных версиях.

Цитата: draff от 10.09.2015, 17:31:44
А что в компоненте не проверяется Token ?
Есть в форме ?
Код
<?php echo JHTML::_( 'form.token' ); ?>
Не спасёт. Достаточно сделать запрос формы, извлечь данные из скрытого поля и передавать их вместе с объявлением. Проверка будет успешно пройдена и объявление добавится.
Записан
Плюс в репутацию больше говорит о благодарности, чем слово "Спасибо" в теме, которую повторно, возможно, никогда уже не посетишь.
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: Лезет спам и создает объявления без названия
« Ответ #15 : 10.09.2015, 21:44:33 »
Цитата: Grendy от 10.09.2015, 18:44:15
Нужно проверять данные повторно на сервере, о чём разработчики видимо пока не додумались или предлагают это в платных версиях.
Не спасёт. Достаточно сделать запрос формы, извлечь данные из скрытого поля и передавать их вместе с объявлением.
А по-вашему, что представляет собой
Код: php-brief
<?php echo JHTML::_( 'form.token' ); ?>
?
Записан
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Grendy

  • Захожу иногда
  • 247
  • 26 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #16 : 10.09.2015, 22:51:29 »
Цитата: robert от 10.09.2015, 21:44:33
А по-вашему, что представляет собой
Код: php-brief
<?php echo JHTML::_( 'form.token' ); ?>
?
По-нашему, это генерация скрытого поля с именем, представляющем собой последовательность символов. Если вы откроете браузером исходный код страницы с формой, вы увидите, что упомянутый код добавляет в форму тег input с типом hidden с именем вида «7866b7bd160908b86c219664942aec1d». Ничего более он не делает.
Записан
Плюс в репутацию больше говорит о благодарности, чем слово "Спасибо" в теме, которую повторно, возможно, никогда уже не посетишь.
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: Лезет спам и создает объявления без названия
« Ответ #17 : 10.09.2015, 23:50:52 »
Цитата: Grendy от 10.09.2015, 22:51:29
Ничего более он не делает.
Ошибаетесь. Вы не подумали, зачем это поле нужно?
« Последнее редактирование: 11.09.2015, 08:40:40 от robert »
Записан
Не будь паразитом, сделай что-нибудь самостоятельно!
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #18 : 11.09.2015, 11:11:39 »
robert, а смысл? Бот так же может сделать запрос страницы, извлечь из нее ключ (токен) и отправить его с остальными данными... Другое дело, если этот токен на странице был бы получен через JS, а не через форму. Но года три назад попадались материалы о том, что и JavaScript сейчас для бота не проблема.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: Лезет спам и создает объявления без названия
« Ответ #19 : 11.09.2015, 11:36:54 »
Цитата: SeBun от 11.09.2015, 11:11:39
robert, а смысл?
Да, но я не об этом.
Просто хотел сказать: <?php echo JHTML::_( 'form.token' ); ?> как раз для того, чтобы
Цитата: Grendy от 10.09.2015, 18:44:15
проверять данные повторно на сервере
Но, возможно, я неправильно понял Grendy.
Записан
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #20 : 12.10.2015, 18:48:24 »
А больше нет ни у кого такой проблемы? Или у всех стоит разрешение на добавление только зарегестрированным пользователям? А может кто капчу какую посоветует?
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #21 : 16.10.2015, 09:30:32 »
Цитата: Sergey2 от 12.10.2015, 18:48:24
А может кто капчу какую посоветует?
Ну прикрутите Recapcha 2... Но почитайте первый пост. Если бы бот имел только систему OCR, то он бы не смог обойти дополнительное поле, которое является обязательным к заполнению. Однако он это поле обходит. Следовательно, это не OCR и никакая CAPTCHA вам в данном случае не поможет, и никакие токены. Сделайте эксперимент. Проанализируйте, какое количество спама поступает в сутки (если его не так много, то за неделю, за месяц), затем смените пароль к базе данных. Если количество спама резко сократится, то ...делайте выводы.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #22 : 16.10.2015, 12:46:22 »
Цитата: SeBun от 16.10.2015, 09:30:32
Ну прикрутите Recapcha 2...
так она и стоит.
Цитировать
Но почитайте первый пост. Если бы бот имел только систему OCR, то он бы не смог обойти дополнительное поле, которое является обязательным к заполнению. Однако он это поле обходит. Следовательно, это не OCR и никакая CAPTCHA вам в данном случае не поможет, и никакие токены. Сделайте эксперимент. Проанализируйте, какое количество спама поступает в сутки (если его не так много, то за неделю, за месяц), затем смените пароль к базе данных. Если количество спама резко сократится, то ...делайте выводы.
пароль поменял. будем смотреть. Но если бы там напрямую в базу писалось бы, разме мне приходило бы письмо, о том что обьявление добавлено? Да и в логах там все нормально, заходят на страницу, отправляют запрос....
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #23 : 16.10.2015, 15:46:08 »
Цитата: Sergey2 от 16.10.2015, 12:46:22
Но если бы там напрямую в базу писалось бы, разме мне приходило бы письмо, о том что обьявление добавлено? Да и в логах там все нормально, заходят на страницу, отправляют запрос....
Если бот заточен именно под ваш сайт, то смоделировать эффект присутствия недолго. Возможно, бот заточен под какой то компонент и использует его уязвимость. В любом случае нужно изучать поведение, что называется, "под микроскопом". Навскидку гадать до бесконечности можно.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #24 : 28.10.2015, 18:22:37 »
поставил keycaptcha, где надо во флеше пазл сложить мышкой. Так через сутки обьявления стали появляться по три штуки в минуту.
Ни у кого нет что ли таких проблем? Может кто авторам отпишет?
Записан
*

grinat

  • Захожу иногда
  • 356
  • 34 / 2
Re: Лезет спам и создает объявления без назва
« Ответ #25 : 26.11.2015, 21:29:46 »
Цитата: SeBun от 10.09.2015, 16:19:41
Айболит не панацея. Он видит залитые скрипты, а не баги. Да и скрипты не все... Недавно клиент прислал письмо - аномальный трафик, хостер предупредил. Полез смотреть. Joomla 3.4.4, Кunena 4.0.5, PhocaGallery не помню какая... Все, больше расширений никаких. Прогнал айболитом - ругнулся на файл с картинкой, глянул исходник - пусто. Зато в index.php кто то воткнул запакованный обсуфицированный код шелла. Вот как? Добавил правила в .htaccess, код удалили, но сам факт взлома настораживает...
Айболит это бесполезная приблуда, насколько помню в него своего рода сигнатуры прописаны, детектор base64 например, в который так любят злоумышленники запаковывать свой код. Проще написать скрипт, который по особому запросу формирует бд в виде txt файла например, чтобы MySQL не грузить лишний раз, в ней хранятся имена файлов и их размер, далее этот скрипт по крону запускается например раз в 10 минут и проверяет все файлы, если видит что залит новый, то сразу удаляет, если размер изменился, то шлет отчет на почту. Проблем будет ноль. Поскольку эти уроды ломают сайты в автоматическом режиме, сканер проходит через 20 тыс сайтов, которые парсят с Google, и куда может пихает код, код ждет команды, как только она приходит, и идет спам, ddos или еще что-то, зависит от того какой заказ выполняет злоумышленник.
« Последнее редактирование: 26.11.2015, 21:33:41 от grinat »
Записан
*

max_1985

  • Давно я тут
  • 611
  • 56 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #26 : 03.12.2015, 12:47:58 »
Разобрался что создание нескольких объявлений это не вирус, а просто недоработка разработчиков.
Просто если при создании объявления несколько раз нажать на кнопку "Сохранить", создастся несколько объявлений. Это решается запретом на повторное нажатие кнопки.
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Редактировать все объявления

Автор den_ko

 Ответов: 32
Просмотров: 11508 		Последний ответ 25.11.2021, 10:43:38
от FlexNL
Слетают категории объявления

Автор guardnext

 Ответов: 1
Просмотров: 2799 		Последний ответ 09.07.2019, 10:10:59
от guardnext
AdsManger не удаляет объявления

Автор kozhenevsky

 Ответов: 0
Просмотров: 1230 		Последний ответ 15.02.2018, 12:08:29
от kozhenevsky
Лечим кнопку "Delete from favorites" на странице объявления. AdsManager 3.1.11

Автор Mick_20

 Ответов: 1
Просмотров: 1579 		Последний ответ 24.12.2017, 22:28:14
от vadim73
Как добавить поле id объявления

Автор Den85

 Ответов: 9
Просмотров: 2378 		Последний ответ 11.11.2017, 15:18:48
от Den85