PsyKing Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение? Надіслати Поділитися на інших сайтах More sharing options...
konorws Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 3 минуты назад, PsyKing сказал: Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение? Боюсь вам нестоит настолько переживать. Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 4 минуты назад, konorws сказал: 8 минут назад, PsyKing сказал: Боюсь вам нестоит настолько переживать. С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока. Надіслати Поділитися на інших сайтах More sharing options... Tom Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 12 минут назад, konorws сказал: Боюсь вам нестоит настолько переживать. Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, konorws сказал: Боюсь вам нестоит настолько переживать. Стоит! Нельзя давать пользователям загружать файлы на сервер Во всех безопасных проектах с загрузкой файлов серверы загрузки отделены от серверов с кодом Проблема с simple в том что он весь закодирован ioncube Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Совершенно верно Стоит и еще как стоит Плохо то что simple закодирован ioncube Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, PsyKing сказал: С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока. Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 3 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл? Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 48 минут назад, markimax сказал: Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 32 минуты назад, PsyKing сказал: А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Есть сервисы "облаков", у них есть API Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 1 час назад, PsyKing сказал: или из-за закодированного ioncube это невозможно? Посмотрел simple_connector.php не закодирован В принципе можно сделать но "дешево" не получится Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 4 минуты назад, konorws сказал: 8 минут назад, PsyKing сказал: Боюсь вам нестоит настолько переживать. С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока. Надіслати Поділитися на інших сайтах More sharing options...
Tom Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 12 минут назад, konorws сказал: Боюсь вам нестоит настолько переживать. Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. 1 Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, konorws сказал: Боюсь вам нестоит настолько переживать. Стоит! Нельзя давать пользователям загружать файлы на сервер Во всех безопасных проектах с загрузкой файлов серверы загрузки отделены от серверов с кодом Проблема с simple в том что он весь закодирован ioncube Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Совершенно верно Стоит и еще как стоит Плохо то что simple закодирован ioncube Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, PsyKing сказал: С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока. Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 3 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл? Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 48 минут назад, markimax сказал: Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 32 минуты назад, PsyKing сказал: А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Есть сервисы "облаков", у них есть API Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 1 час назад, PsyKing сказал: или из-за закодированного ioncube это невозможно? Посмотрел simple_connector.php не закодирован В принципе можно сделать но "дешево" не получится Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, konorws сказал: Боюсь вам нестоит настолько переживать. Стоит! Нельзя давать пользователям загружать файлы на сервер Во всех безопасных проектах с загрузкой файлов серверы загрузки отделены от серверов с кодом Проблема с simple в том что он весь закодирован ioncube Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Совершенно верно Стоит и еще как стоит Плохо то что simple закодирован ioncube Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, PsyKing сказал: С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока. Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 3 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл? Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 48 минут назад, markimax сказал: Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 32 минуты назад, PsyKing сказал: А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Есть сервисы "облаков", у них есть API Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 1 час назад, PsyKing сказал: или из-за закодированного ioncube это невозможно? Посмотрел simple_connector.php не закодирован В принципе можно сделать но "дешево" не получится Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Совершенно верно Стоит и еще как стоит Плохо то что simple закодирован ioncube Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, PsyKing сказал: С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока. Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 3 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл? Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 48 минут назад, markimax сказал: Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 32 минуты назад, PsyKing сказал: А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Есть сервисы "облаков", у них есть API Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 1 час назад, PsyKing сказал: или из-за закодированного ioncube это невозможно? Посмотрел simple_connector.php не закодирован В принципе можно сделать но "дешево" не получится Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 2 часа назад, PsyKing сказал: С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока. Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 3 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл? Надіслати Поділитися на інших сайтах More sharing options... PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 48 минут назад, markimax сказал: Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 32 минуты назад, PsyKing сказал: А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Есть сервисы "облаков", у них есть API Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 1 час назад, PsyKing сказал: или из-за закодированного ioncube это невозможно? Посмотрел simple_connector.php не закодирован В принципе можно сделать но "дешево" не получится Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 3 часа назад, Tom сказал: Еще как стоит. По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать. Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл? Надіслати Поділитися на інших сайтах More sharing options...
PsyKing Опубліковано: 8 січня 2018 Автор Share Опубліковано: 8 січня 2018 48 минут назад, markimax сказал: Причем даже не через код модуля, а возможно через дырки сервера Нельзя пользователям разрешать что либо грузить на сервер Это будет первый же вектор атаки хакеров А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Надіслати Поділитися на інших сайтах More sharing options...
markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 32 минуты назад, PsyKing сказал: А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно? Есть сервисы "облаков", у них есть API Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 1 час назад, PsyKing сказал: или из-за закодированного ioncube это невозможно? Посмотрел simple_connector.php не закодирован В принципе можно сделать но "дешево" не получится Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 1 час назад, PsyKing сказал: или из-за закодированного ioncube это невозможно? Посмотрел simple_connector.php не закодирован В принципе можно сделать но "дешево" не получится Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 6 минут назад, mazein сказал: Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две. Хватает 0.1 секунды (пока идет "обработка") запустить шел На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд) Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich Промо банери в категоріях товарів Автор: IHOR1989 Trend - адаптивний універсальний шаблон Автор: DSV
mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 10 минут назад, markimax сказал: Хватает 0.1 секунды Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Послуги Програмування, створення модулів, зміна функціональності Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд)
markimax Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 35 минут назад, mazein сказал: Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост? По барабану, ломают через діырки хостера И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему. Надіслати Поділитися на інших сайтах More sharing options... mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
mazein Опубліковано: 8 січня 2018 Share Опубліковано: 8 січня 2018 9 минут назад, markimax сказал: от имени скрипта В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется? Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
Recommended Posts