josSpoofCheck - Для джумлы 1.5.x - Разработка расширений для Joomla - Форум русской поддержки Joomla!

Новости Joomla

👩‍💻 CMS Joomla победила в премии CMS Critics Awards - People's Choice Awards 2025.

👩‍💻 CMS Joomla победила в премии CMS Critics Awards - People's Choice Awards 2025.

С 2012 года премия CMS Critic Awards отмечает выдающиеся достижения сообщества CMS, награждая разработчиков за их инновации и сервис.
С конца декабря начинается номинирование CMS для участие в премии, которое заканчивается в январе. Из всех номинантов отбирается top 5. Затем в течение февраля идёт голосование.

В 2025 году:
⭐️ Best Free CMS: Joomla!
⭐️ Best Open Source CMS: Joomla!

Подобные рейтинги и награды оценивают технологичность, активность и консолидацию сообщества, складывающегося вокруг каждой CMS.

https://cmscritic.com/lights-camera-community-action-here-are-the-winners-of-the-14th-annual-cms-critic-awards

👩‍💻 Плагин микроразметки Schema.org в в пункте меню Joomla.

👩‍💻 Плагин микроразметки Schema.org в в пункте меню Joomla.

Плагин для интеграции в пункт меню вкладки "Микроразметка" и вставки кода schema.org в формате JSON Linked Data (JSON-LD).

В пункты меню добавляется вкладка "Микроразметка"
Код микроразметки нужно генерировать самостоятельно и он должен быть в формате JSON-LD, можно воспользоваться сервисами по генерации
Готовый код надо вставлять без тегов <script>

Разработчик - участник нашего сообщества Дмитрий Денисов.

Страница расширения

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

14 часов назад (на момент публикации заметки) была обнаружена уязвимость в популярном шаблоне-конструкторе Astroid Framework. При атаке на сайт устанавливается бэкдор — системный плагин под названием plg_system_blpayload. Если вы обнаружили этот плагин на своем веб-сайте, значит, он скомпрометирован, и вам необходимо восстановить чистую резервную копию, созданную до установки плагина.

Уязвимость позволяет загружать файлы на сайт и в дальнейшем получить права администратора Joomla.
В рамках атаки (из-за которой и была обнаружена уязвимость) на сайт устанавливался плагин plg_system_blpayload, который при каждой загрузке страницы снаружи он скрытно связывается с (платформой для SEO, работающей на черном рынке (ссылку помещать не будем, просим поверить на слово). Получает список скрытых спам-ссылок (сайты азартных игр, фишинга, мошенничества), подобранный под ваш домен, затем внедряет эти ссылки в HTML-код вашей страницы непосредственно перед рендером - невидимые для посетителей, но полностью читаемые поисковыми роботами. Это называется "отравление SEO" ("отрпавление поисковой выдачи").

Однако, эта уязвимость может использоваться в других целях. Поэтому необходимо срочно проверить ваши сайты, где стоит Astroid Framework и обновить его до версии не ниже 3.3.11. Релиз безопасности выпущен 4 часа назад (на момент написания заметки).

Скачать релиз безопасности Astroid

@joomlafeed

1 Вниз

0 Пользователей и 1 Гость просматривают эту тему.

1 Ответов
2639 Просмотров

yAnTar

Захожу иногда
296
81 / 3

josSpoofCheck - Для джумлы 1.5.x

« : 19.09.2008, 12:08:50 »

В Joomla 1.0.x были функции
josSpoofCheck i josSpoofValue.

Здесь нашел, что
josSpoofValue в Joomla 1.5.x заменяется конструкцией JUtility::getToken()
а
josSpoofCheck() - deprecated, solution now included in JSession.
Не нашел в JSession решения. Покопался в плагине легаси_моде нашел функцию

Код

function josSpoofCheck( $header=false, $alternate=null )
{
	// Lets make sure they saw the html form
	$check = true;
	$hash	= josSpoofValue($alternate);
	$valid	= JRequest::getBool( $hash, 0, 'post' );
	if (!$valid) {
		$check = false;
	}

	// Make sure request came from a client with a user agent string.
	if (!isset( $_SERVER['HTTP_USER_AGENT'] )) {
		$check = false;
	}

	// Check to make sure that the request was posted as well.
	$requestMethod = JArrayHelper::getValue( $_SERVER, 'REQUEST_METHOD' );
	if ($requestMethod != 'POST') {
		$check = false;
	}

	if (!$check)
	{
		header( 'HTTP/1.0 403 Forbidden' );
		jexit( JText::_('E_SESSION_TIMEOUT') );
	}
}

Изменил строку

Код

$hash	= josSpoofValue($alternate);

на строку

Код

JUtility::getToken()

работает, но как то не красиво - в код вставлять такую большой кусок (15 строк) с тела функции, неужели нет статического метода, который проверяет это.
В классе JSession подходящего метода не нашел.

Записан

Firefox the best, Google the best, jQuery the best.
yAnTar блог

yAnTar

Захожу иногда
296
81 / 3

Re: josSpoofCheck - Для джумлы 1.5.x

« Ответ #1 : 02.10.2008, 19:25:55 »

Случайно нашел здесь

Код

JRequest::checkToken();

Записан

Firefox the best, Google the best, jQuery the best.
yAnTar блог

1 Вверх

Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться