Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Отзывы


ArtemPitov

Recommended Posts

так я знаю что можно перепилить

Там особо не пилилось - css немного и немного перенесены обьекты по другим местам

Обычный Crtl-C -> Ctrl -V - сохранить с новым именем, и выбрать новый шаблон из выпадающего списка в виджете

И ничего не слетит при обновлениях модуля

И как плюшку получаешь https://coolstuff.com.ua/all-news/ :-D

Надіслати
Поділитися на інших сайтах

Там особо не пилилось - css немного и немного перенесены обьекты по другим местам

Обычный Crtl-C -> Ctrl -V - сохранить с новым именем, и выбрать новый шаблон из выпадающего списка в виджете

И ничего не слетит при обновлениях модуля

И как плюшку получаешь https://coolstuff.com.ua/all-news/ :-D

та ну, меня агрегатировать не нужно, как у меня так и у моих клиентов есть Ваш модуль и как перепилить я знаю, но вопрос был в другом, в реализации и нюансах

Надіслати
Поділитися на інших сайтах

та ну, меня агрегатировать не нужно, как у меня так и у моих клиентов есть Ваш модуль и как перепилить я знаю, но вопрос был в другом, в реализации и нюансах

Я знаю что есть :) Я просто не пойму чего написали что "не походит"

Как видите очень даже подходит

Надіслати
Поділитися на інших сайтах

Кстати ArtenPitov для справки ;)

 

Разных версий SEO CMS выдано более 6000 лицензий (кстати очень много расширенных лицензий купили разработчики, веб студии)

И вы думаете не обращались пользователи (веб студии, разработчики) расширить функционал (за деньги) для загрузки изображений на сервер. (тем более в админке реализована даже пакетная загрузка изображений, т е адаптировать для фронта тривиальное дело)

Обращались, но единицы. После вопроса что вам важнее 100% безопасность или дать шанс хакеру залить шелл (хотя бы воспользовавшись дырами хостера).

100% выбрали безопасность и сказали что не надо им этого функционала уже - достаточно и по "ссылке"

Т.е. 1. функционал загрузки нужен всего то 0.01%. 2. Безопасность магазина важнее

Делайте выводы

Надіслати
Поділитися на інших сайтах

хотя бы воспользовавшись дырами хостера

если дыры у хостера тогда уже не важно грузиться туда что то или нет, ломанут не через сайт 

Надіслати
Поділитися на інших сайтах

И по поводу взлома через сам хост, конкретики не было бросте ссылкой что ли, реально интересно почитать 

 

По поводу бомб 

function process_upload($upload) {
  $ext = explode('.', $upload['name']);
  $ext = strtolower($ext[count($ext)-1]);
  $filename = md5_file($upload['tmp_name']);
  
  move_uploaded_file($upload['tmp_name'], 'temp/'.$filename.'.'.$ext);
  $info = getimagesize('temp/'.$filename.'.'.$ext);
  
  $tmp_ext = str_replace('image/', '', $info['mime']);
  if ($ext != $tmp_ext) {
    rename('temp/'.$filename.'.'.$ext, 'temp/'.$filename.'.'.$tmp_ext);
    $ext = $tmp_ext;
  }
  
  if ($ext != 'jpg' && $ext != 'jpeg' && $ext != 'gif' && $ext != 'png') {
    unlink('temp/'.$filename.'.'.$ext);
    return false;
  }

move_uploaded_file($upload['tmp_name'], 'temp/'.$filename.'.'.$ext);

файл грузиться без проверки в папку "Хацкером" перегружается память с помощью getimagesize() после чего мы не доходим сюда 

if ($ext != 'jpg' && $ext != 'jpeg' && $ext != 'gif' && $ext != 'png') {
    unlink('temp/'.$filename.'.'.$ext);
    return false;
  }

но есть же http://php.net/manual/ru/function.mime-content-type.php или  http://php.net/manual/ru/function.finfo-file.php

Надіслати
Поділитися на інших сайтах

если дыры у хостера тогда уже не важно грузиться туда что то или нет, ломанут не через сайт 

Наша песня хороша начинай сначала :)

Я вам писал вверху. Что дыры есть разные. Если нету загрузки файлов на сервер  вероятность того что вам зальют шел равна практически нулю. Но если разрешить загружать файлы, то вероятность с дырами более 50%. Чувствуете разницу 0.01% и 50%

Надіслати
Поділитися на інших сайтах

И по поводу взлома через сам хост, конкретики не было бросте ссылкой что ли, реально интересно почитать 

 

...

https://xakep.ru/2012/10/01/php-vulnerabilities/

https://xakep.ru/2013/10/19/php-wrappers/

https://xakep.ru/2012/01/25/58183/

...

https://habrahabr.ru/post/219125/

...

Надіслати
Поділитися на інших сайтах

Наша песня хороша начинай сначала :)

Я вам писал вверху. Что дыры есть разные. Если нету загрузки файлов на сервер  вероятность того что вам зальют шел равна практически нулю. Но если разрешить загружать файлы, то вероятность с дырами более 50%. Чувствуете разницу 0.01% и 50%

Она у меня будет в голове пока я не найду самый адекватны способ реализации, включая отдельный хостинг для изображения и тд. (Развиваться нужно всегда)

Надіслати
Поділитися на інших сайтах

Щяс почитаем, но год там интересный 2012 эра php 5, а уже и 7й пришел который натягивает пайтон в скорости) 

Надіслати
Поділитися на інших сайтах

Щяс почитаем, но год там интересный 2012 эра php 5, а уже и 7й пришел который натягивает пайтон в скорости) 

Теперь можете представить до чего "дошла" техника в 2016 ;)

Вообще представьте что если зная алгоритм работы функции ресайза и т п можно подсунуть такие "машинные" коды картинки чтобы при ресайзе получился php код и т.п.

Т.е. здесь суть в том, если есть возможность что то залить - будьте уверены хакеры будут использовать в первую очередь этот вектор атаки. И то что они зальют php бомбу вне всяких сомнений. А дальше они будут искать дыры хостера, браузера, протоколов и т п  как запустить эту бомбу. И идеальных настроек сервера не бывает, каждый год выходят новые експлойты и т п. Т е  надо просто найти эксплойт.  А если вы специалист высокого уровня и можете сами создать их, то тогда это только вопрос времени когда вы запустите то что загрузили.

Я выше написал, что единственный метод более менее безопасный - хранить файлы в БД, но сами понимаете что БД будет просто офигительного размера и начнутся тормоза, а разделять ресурсы сервера через модуль невозможно. Т.е. становиться фактом то что безопасной загрузки без полной связи с конкретным сервером и его системой не существует

Яркий пример. Залил без проблем php. Хотя и стоит принудительный ресайз, а потом ресайз вывода. Т.е. два ресайза

http:// mcdonalds.com/image/data/phototestimonial/ae05b2280a92043d2645edca0af18bc8_avatar_phpOIU7Lk.jpg

Надіслати
Поділитися на інших сайтах

C таким функционалом проще нету

Нажал одну кнопку "Сценарии -> Включить" и отзывы в стиле "розетка" с таким же функционалом готовы

Марк

вытащи его скомпонуй - назови ОТзывы как на Розетке

и пожинай плоды )

Надіслати
Поділитися на інших сайтах


Марк

вытащи его скомпонуй - назови ОТзывы как на Розетке

и пожинай плоды )

Да он давно отдельно продается

Наверно разве что бренд поменять и назвать "Отзывы :: Rozetka" :ugeek: :-D

Надіслати
Поділитися на інших сайтах

Да он давно отдельно продается

Наверно разве что бренд поменять и назвать "Отзывы :: Rozetka" :ugeek: :-D

Отзывы товаров (rozetka)  :ugeek:

Надіслати
Поділитися на інших сайтах

Розетка тоже не проверяет на php бомбы содержимое

Но я так понял в розетке там все сделано по умному

Там на отдельном сервере в отдельной БД хранятся в BLOB  изображения

И когда вызывается img src='....jpg' - сервер настроен так что вызывается не картинка, а скрипт, которые достает из БД эту картинку

Надіслати
Поділитися на інших сайтах

Марк

вытащи его скомпонуй - назови ОТзывы как на Розетке

и пожинай плоды )

так суть то не в модуле розетка и тд, тема создалась поболтать о реализации модуля, за против, безопасность и тд, вот пока мы дошли к выводу что изображения плохо грузить, но все еще впереди  :-D

Надіслати
Поділитися на інших сайтах

Дожились - розетке тоже php бомбу залил

blob:http: //rozetka.com.ua/1e4e4065-67bb-46f7-b178-9b43140cf122

Вот к чему приводит разрешение загружать файлы на сервер :ph34r: :ugeek: :-D

он там грузиться на отдельный сервер i.rozetka или что то типа этого

ну а blob это браузерное api

Змінено користувачем ArtenPitov
Надіслати
Поділитися на інших сайтах

Отзывы товаров (rozetka)  :ugeek:

Вот объясни) зачем делать то что уже сделано?)

причем даже не закодировано)

можно ж пилить под как угодно)

Пардон

так суть то не в модуле розетка и тд, тема создалась поболтать о реализации модуля, за против, безопасность и тд, вот пока мы дошли к выводу что изображения плохо грузить, но все еще впереди  :-D

незаметил)

Змінено користувачем AWARO
Надіслати
Поділитися на інших сайтах


Вот объясни) зачем делать то что уже сделано?)

причем даже не закодировано)

можно ж пилить под как угодно)

Писать свой вариант со своим видением никогда не поздно.

Надіслати
Поділитися на інших сайтах

Писать свой вариант со своим видением никогда не поздно.

Ну я больше о том, что не лучше ли убить время на то чего нет)

Возьмем к примеру ванючуб джумлу.

есть там всякие блоги (например) - расширения

и под них фигачат всякие модули, плагины

а там доп настройки и разная визуализация

поняятная пользователю

вот пример

есть за 450р - Симпла

а вот Г* во всех смыслах за 1200р

понимаете что людям не хватает :ugeek:

- Настройка цветовой гаммы модуля (кнопки, шрифты, заголовки, фоны)

и это при через жопарукой подаче модуля (в прочем как и всё остальное от этой psdшной комманды) единственное на что клюют больше чем на симплу и т.д.)

Змінено користувачем AWARO
Надіслати
Поділитися на інших сайтах


понимаете что людям не хватает :ugeek:

Все что им хватает - это раба который будет все делать и читать мысли ))) 

Надіслати
Поділитися на інших сайтах

Все что им хватает - это раба который будет все делать и читать мысли )))

все рабы - чего то или кого то ;)
Надіслати
Поділитися на інших сайтах


он там грузиться на отдельный сервер i.rozetka или что то типа этого

 

Я так понял что  в розетке там все сделано по умному

Там на отдельном сервере в отдельной БД  хранятся в BLOB  изображения

И когда вызывается img src='....jpg' - сервер настроен так что вызывается не картинка, а скрипт, которые достает из БД эту картинку

Т е если даже php бомбу подсунуть, то вот запустить никак

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.