| Yusupov |
|
|---|---|
| xaknet |
|
|---|---|
| avtor |
|
|---|---|
|
http://habrahabr.ru/post/173285/
читал хабр и увидел там описание взлома сайта на движке. думаю, будет интересно
Добавлено 5 минуты спустя: Дочитал до комментария взломщика. Отбой. "По поводу же векторов атаки — все приведенные дыры в безопасности были дырами в одном единственном плагине Cotonti — не так давно удивившем свет плагине фрилансерской биржи. К слову сказать (это больше относится к гневному комментарию выше), устранение уязвимостей происходило именно на уровне модуля CMS, а не заплатками на сайте, так как «Пентестер» совершенно бескорыстно оставлял репорты и по месту разработки CMS, для которой вскоре вышло глобальное обновление. " |
| Trustmaster |
|
|---|---|
|
Забавно, злополучная биржа уже до светской хроники добралась :) Спасибо за ссылку! May the Source be with you!
|
| Sergeich |
|
|---|---|
|
Ну почему злополучная, один из самых востребованных модулей, как показывает практика :). если бы ещё модуль магазина появился, то вообще бы народ попёр :) |
| Sergey |
|
|---|---|
|
Я с удовольствием начал бы работу, но не с магазина, а с витрины. Но и эта задача требует проекта. www.cotonti.mobi
|
| Yusupov |
|
|---|---|
|
Знающие люди уже давно поняли, что Cotonti достаточно хороший фреймворк, на базе которого можно разработать практически любой интернет-сервис. В "злополучной" бирже на Genoa действительно случилась такая неприятная история. Правда все это происходило не на полностью готовом сайте, как это утверждается в статье. К сожалению, владелец ресурса запустил сайт, не дожидаясь завершения разработки и полного тестирования. Сама разработка же проводилась непосредственно на сервере, так как владелец пожелал работать именно так, чтобы самому иметь возможность вносить изменения в оформление биржи. Ему еще повезло, что все сделки совершаемые к тому моменту на сайте были не действительными. А Фриланс-биржа уже давно переработана и переведена на Siena в полном соответстивии с API Cotonti, а также с учетом всех багов, которые были выявлены и исправлены в старой версии. |
| Alex300 |
|
|---|---|
|
Модуль магазина есть и успешно функционирует на ряде сайтов. Как только дойдут руки - выложу для всех. Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
| Sergey |
|
|---|---|
|
Рейтинг страниц в Генуе раздрожает ошибкой: line 114 column 142 - Ошибка: ID "rate_p137" already defined
www.cotonti.mobi
|
| Trustmaster |
|
|---|---|
|
Почему бы и не исправить. А можно больше информации, где ругается, на какой файл? May the Source be with you!
|
| Sergey |
|
|---|---|
|
Вот этот участок рейтинга страницы, который формирует скрипт джавы
$('.rstar').rating({
callback: function(value, link) {
rate_val = value;
rate_name = $(this).attr('name');
rate_code = rate_name.replace('rate_', '');
$('#' + rate_code + '_submit').css('display', '');
}
});
});
//]]>
</script><form action="page.php?al=BBcode_table&inr=send" method="post" id="p138_form" name="p138_form" style="display:inline;clear:none;margin:0;padding:0"><div style="display:inline;margin:0;padding:0"><input type="hidden" name="x" value="e59ce4c037548e49" /></div>
<div class="rating"><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="1" title="Очень плохо" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="2" title="Плохо" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="3" title="Неплохо" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="4" title="Удовлетворительно" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="5" title="Нормально" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="6" title="Почти хорошо" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="7" title="Хорошо" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="8" title="Очень хорошо" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="9" title="Отлично" /><input id="rate_p138" name="rate_p138" type="radio" class="rstar {split:2}" value="10" title="Идеально" /><input type="submit" value="Отправить" id="p138_submit" class="rating_submit" />
</div>
</form>
Валидатору не нравится повтор id="rate_p138" name="rate_p138" Нечто похожее было и форуме, но я как-то исправил и.. не зафиксировал как, к сожалению www.cotonti.mobi
|
