Новости Joomla

🏆 Открыто голосование за Joomla в премии CMS Critic People’s Choice Awards 2025

🏆 Открыто голосование за Joomla в премии CMS Critic People’s Choice Awards 2025

🗓 Голосование продлится до 27 февраля 2026 года.

👩‍💻 Проголосовать! 👩‍💻

Номинации, в которых можно проголосовать за Joomla:
⭐️ Best Free CMS
⭐️ Best Open Source CMS
⭐️ Best Enterprise CMS

Также в номинации Best e-Commerce Solution участвуют компоненты интернет-магазинов для Joomla:
⭐️ HikaShop
⭐️ Virtuemart

В номинации Best Website Builder оказались:
⭐️ YooTheme
⭐️ SP Page Builder

Что такое CMS Critic Awards?
С 2012 года премия CMS Critic Awards занимает особое место в сообществе систем управления контентом (CMS). Это единственный в своем роде сайт, который составляет рейтинг системы управления контентом и связанных с ними решений на рынке — от малого до крупного и подчеркивает их инновации и услуги.

Каждый год награда CMS Critic Awards присуждается одному победителю в различных отраслевых категориях, таких как: «Лучшая облачная CMS», «Лучший DXP», «Лучшая Headless CMS и других. Затем результаты оглашаются через СМИ вместе с выбором редакции CMS Critic.
В этом году премия вернулась к своим традициям и только TOP-5 движков по количеству номинаций попали в 2-й этап - голосование.

@joomlafeed

👩‍💻 Релиз JoomGallery 4.3.0 - компонент галереи изображений для Joomla.

👩‍💻 Релиз JoomGallery 4.3.0 - компонент галереи изображений для Joomla.

Одна из самых популярных и старейших фото-галерей для Joomla получила новую версию.

👉 v.4.3.0. Что нового?
Панель управления для зарегистрированных пользователей. В этой версии появилась возможность каждому зарегистрированному пользователю управлять своими категориями и изображениями во фронтенде сайта.

Документация по новой функции.
Сайт проекта

@joomlafeed

👩‍💻 Вместе мы развиваем Joomla: станьте Joomfluencer!

👩‍💻 Вместе мы развиваем Joomla: станьте Joomfluencer!

Вы уверенно чувствуете себя перед камерой, динамичны, обаятельны и всегда улыбаетесь? Чувствуете себя искателем приключений, готовым поделиться своими исследованиями CMS Joomla!, взять интервью у видных деятелей сообщества, пообщаться лично или по видеосвязи с волонтерами Joomla или отправиться на поиски новых идей?

Joomla ищет одного или нескольких волонтеров, готовых вдохнуть новую жизнь в обсуждение Joomla, ее CMS, пользователей, сообщества и многого другого.

Возможны самые разные форматы и темы: шортсы, интервью, аналитика и разборы в режиме реального времени, быстрые советы и рекомендации, знакомство с миром Joomla, изучение открытого исходного кода... Нет никаких ограничений!

Joomla! уже активно представлена ​​во многих социальных сетях:
- 155K подписчиков на Facebook,
- 55K подписчиков на X (ранее Twitter),
- 16K подписчиков на YouTube,
- 14K подписчиков на LinkedIn,
- 5,7K подписчиков в Instagram
а так же другие площадки ждут вас. Аккаунты Threads и Bluesky относительно новые, но их популярность только растёт!

А если хватит энергии, можно рассмотреть и TikTok!

❓ Итак, вы готовы?
👉 Свяжитесь с отделом маркетинга по адресу: marketing@community.joomla.org

Подробности в статье в Joomla Community Magazine.

@joomlafeed

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 8 Ответов
  • 2038 Просмотров
*

mister_boy

  • Захожу иногда
  • 179
  • 2 / 0
SQL инъекции нужна помощь
« : 13.09.2016, 01:16:30 »
Доброй ночи всем!

На мой сайт заглянули "Робин гуды" которые искали уязвимости с помощью автоматизированных решение для пентеста (Acunetix, DirBuster). Получили доступ к базе MySQL прислав скрины структуры базы и скрины таблицы users. Кроме этого уважаемые сообщили что "имееться раскрытия путей .../public_html/libraries/" Ясное что "Робин гуды" попросили бабла за раскрытие информации об уязвимости.

Как именно был получен доступ к БД - из запросов не видно (их несколько тысяч, часть  - методом POST), но вероятнее всего через SQL инъекцию, так как в этом случае можно вытащить всю структуру БД.
Изменений в файловой структуре не обнаружено.

А теперь знатоки - вопросы:
1) Так и не выяснилось где дыра и как получают доступ в базу. Есть ли умельцы на форуме которые хорошо знают об SQL инъекциях и слабых местах Joomla и шоппинга?
2) Как защищаются коллеги от таких атак? Просто когда идет поиск с помощью Acunetix, DirBuster то создается нехилая нагрузка на сервак и он начинает загибаться и как следствие уходить в даун.

Сайт на Joomla 3.4.8 + JoomShopping 4.12.0
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: SQL инъекции нужна помощь
« Ответ #1 : 13.09.2016, 01:35:24 »
Скорее всего уязвимость в каком-нить левом модуле, плагине или .. (не варезный шаблон то?)

2) Есть антиддос решения, как отдельные тарифы, так и самостоятельно, если речь о VDS\сервере
Записан
*

mister_boy

  • Захожу иногда
  • 179
  • 2 / 0
Re: SQL инъекции нужна помощь
« Ответ #2 : 13.09.2016, 01:43:21 »
шаблонов варезных не используем. плагинов и модулей написано под себя достаточно. но как я писал выше по логам видно что использовали автоматизированный поиск инъекций - навалились за 6 часов сайт подгрузили и нашли дырку. Следовательно (помоему разумению) то что писали сами под себя врят ли дырявое - так как автоматизированные ищут дырки в публикуемых расширениях.

По подробнее можно на счет DDOS решений? Это что то типа https://www.cloudflare.com/ ? Если на счет VDS, то нет - мы на обычно хостинге. У нас посещался низкая. Ставить что то дорогое нету смысла. Было бы 5000 уников тогда уж понятно, а у нас и до 800 не дотягивает.

Вообще кому мы нужны со своим мелким сайтом вообще не ясно.
Записан
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: SQL инъекции нужна помощь
« Ответ #3 : 13.09.2016, 07:38:31 »
Цитата: mister_boy от 13.09.2016, 01:16:30
Доброй ночи всем!

На мой сайт заглянули "Робин гуды" которые искали уязвимости с помощью автоматизированных решение для пентеста (Acunetix, DirBuster). Получили доступ к базе MySQL прислав скрины структуры базы и скрины таблицы users. Кроме этого уважаемые сообщили что "имееться раскрытия путей .../public_html/libraries/" Ясное что "Робин гуды" попросили бабла за раскрытие информации об уязвимости.

Как именно был получен доступ к БД - из запросов не видно (их несколько тысяч, часть  - методом POST), но вероятнее всего через SQL инъекцию, так как в этом случае можно вытащить всю структуру БД.
Изменений в файловой структуре не обнаружено.

А теперь знатоки - вопросы:
1) Так и не выяснилось где дыра и как получают доступ в базу. Есть ли умельцы на форуме которые хорошо знают об SQL инъекциях и слабых местах Joomla и шоппинга?
2) Как защищаются коллеги от таких атак? Просто когда идет поиск с помощью Acunetix, DirBuster то создается нехилая нагрузка на сервак и он начинает загибаться и как следствие уходить в даун.

Сайт на Joomla 3.4.8 + JoomShopping 4.12.0

Через SQL иньекции можно достать весь дамп БД, получить логин, пасс от админки и через админку залить шелл, прочитать конфиг БД и в свободном полете зайти уже в пхпмиадмин, где наглядно все видно, само по себе, если нет файловых привелегий, то конфиг нельзя прочитать...

Записан
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: SQL инъекции нужна помощь
« Ответ #4 : 13.09.2016, 08:18:02 »
Цитата: mister_boy от 13.09.2016, 01:16:30
Сайт на Joomla 3.4.8 + JoomShopping 4.12.0
актуальная версия 3.6.2
Записан
*

mister_boy

  • Захожу иногда
  • 179
  • 2 / 0
Re: SQL инъекции нужна помощь
« Ответ #5 : 13.09.2016, 08:47:29 »
Цитата: flyingspook от 13.09.2016, 08:18:02
актуальная версия 3.6.2

на счет актуальных версий я вкурсе. не обновлялся, так как на тестовом сайте тестировали не отвалится ли написанные плагины при обновлении + писали новые плагины и хотел разом все сделать. но не успел. Вот как раз думаю есть ли закрытые уязвимости между моей текущей версией и самой новой актуальной. Возможно по этой причине и нашли дыру. Обновляться до актуальных планирую сегодня - но вопрос в другом. Если дыра уже есть, то закроется ли.

Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.
Записан
*

mister_boy

  • Захожу иногда
  • 179
  • 2 / 0
Re: SQL инъекции нужна помощь
« Ответ #6 : 13.09.2016, 08:48:23 »
Цитата: winstrool от 13.09.2016, 07:38:31
Через SQL иньекции можно достать весь дамп БД, получить логин, пасс от админки и через админку залить шелл, прочитать конфиг БД и в свободном полете зайти уже в пхпмиадмин, где наглядно все видно, само по себе, если нет файловых привелегий, то конфиг нельзя прочитать...

так что посоветуете сделать то?
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: SQL инъекции нужна помощь
« Ответ #7 : 13.09.2016, 08:56:21 »
Цитата: mister_boy от 13.09.2016, 08:47:29
Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.
Обращайтесь ссылка в подписи.
п.с.
И кто сказал что это SQL инъекция ? Просто получили доступ к файлу конфига Joomla, где указаны данные доступа к БД.
« Последнее редактирование: 13.09.2016, 09:10:07 от draff »
Записан
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: SQL инъекции нужна помощь
« Ответ #8 : 13.09.2016, 19:57:38 »
Цитата: mister_boy от 13.09.2016, 08:47:29
Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.
Вознаграждения может и не хватить  ;) ни кто просто так такие работы не выполняет, по ищите школьников, найдут но конечно не все. Правильно подмечено нужен только конфиг. А SQL если и были то по стандарту бот прошелся и будет приходить, стоит все обновить и не париться. Но сейчас в вашем случае придется проверять на наличие шелов, которые обязательно уже есть.

оно вам надо искать то, после драки кулаки не чешут
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Помощь в настройке Eyesite

Автор Ingener

 Ответов: 29
Просмотров: 7716 		Последний ответ 07.12.2023, 13:44:45
от master-smeta
Фонтомные страницы ( нужна помощь )

Автор ks8re

 Ответов: 14
Просмотров: 1438 		Последний ответ 01.04.2017, 10:06:41
от maximm
нужна помощь

Автор bursnab

 Ответов: 1
Просмотров: 1183 		Последний ответ 12.09.2016, 07:46:02
от Taatshi
Нужна помощь! Вирус на сайте

Автор samarskii

 Ответов: 7
Просмотров: 1439 		Последний ответ 26.11.2015, 19:24:30
от jlend
Помощь по защите CAPTCHAми

Автор Crazy...

 Ответов: 4
Просмотров: 1435 		Последний ответ 15.10.2014, 00:25:08
от busik