Лента событий (addons) XSS

#1 12 сентября 2019 в 10:05
Доброе утро инстанчане), клиент попросил немного доработать ленту в итоге, рекомендую всем покупателям, instantcms.ru/addons/feed-for-instantcms2.html отключить ленту (когда в каталог добавляют разработки куда смотрят?!))!), до внесения исправлений автора и выпуска обновы, в компоненте активная xss, немного сканирования и написание небольшой автоматизации и спокойно можно трафик с пака ресурсов покупателей слить на другой ресурс или скрытно подгрузить эксплоит, тем самым прогрузить зловред, сам способ вызова сюда не буду кидать, просто предупреждаю, способ вызова видео скину автору, если сам не догадывается.
#2 12 сентября 2019 в 11:00
ideasdigger, а написать автору в личку нельзя было? Тихонько. А после исправления уже принять лавры, если так хочется потешить себя.

когда в каталог добавляют разработки куда смотрят?!

ideasdigger
Мы не тестируем добавляемые дополнения в каталог.
#3 12 сентября 2019 в 11:14

ideasdigger, а написать автору в личку нельзя было? Тихонько. А после исправления уже принять лавры, если так хочется потешить себя.
ideasdigger:
когда в каталог добавляют разработки куда смотрят?!
Мы не тестируем добавляемые дополнения в каталог.

Fuze
можно было конечно и в лс скинуть и продолжать в том же духе сливать в лс, но ситуация в целом хуже чем кажется, таких компонентов в каталоге достаточно и в итоге у людей за кровный кеш вместо сайта решето, это ведь не нормально? (боюсь предположить что под ионкубом продают)
а без огласки на такие проблемы, эффекта решение глобально по моему мнению нет, а лавры мне не нужны, просто сколько тут нахожусь удивляюсь что в каталог выкладывают, не осознавая ответственность, клепая как пирожки

ну а как говорится критикуешь = предлагает, предлагаю ввести роялти (с размещения (фикс допустим ) и продаж (%) в сторону площадки) и всё таки реализовать автоматизацию покупки
#4 12 сентября 2019 в 11:26
ideasdigger, Хм… Если позволите, то теперь перед покупкой или после, сразу к вам.
#5 13 сентября 2019 в 05:01
Fuze, ТС явно не любит пиар и шумиху. Очень сильный и надежный разработчик. Сколько он наисправлял мне разработок из каталога — просто не счесть. Сколько сделал полезных разработок лично мне, которые бы пользовались спросом у сообщества — тоже немало.

предлагаю ввести роялти (с размещения (фикс допустим ) и продаж (%) в сторону площадки) и всё таки реализовать автоматизацию покупки

ideasdigger
Полностью поддерживаю данное предложение!
#6 13 сентября 2019 в 08:17

предлагаю ввести роялти (с размещения (фикс допустим ) и продаж (%) в сторону площадки) и всё таки реализовать автоматизацию покупки

ideasdigger

Предложение хорошее… Одна проблема. Если админам брать кэш за размещение в каталоге — значит взять ответственность за то что там размещается. (Она конечно и так есть, но пока номинально)

НО: Взвалить на себя еще и проверку каждого дополнения facepalm
Fuze, и так один развитие движка тянет...

К тому же какой там кэш… слезы))
А проверять каждую разработку — время.

(Хотя с другой стороны пополнение разработками идет не "бешеными темпами")

Делать конечно что то надо, но пока, кроме "фантазий", как то не приходит на ум что именно…
#7 13 сентября 2019 в 15:44
Автор не аккуратный и не проверяет код. На заказ ошибок очень много. У меня была лента событий, вся в багах. Автор не смог в своей ленте найти решение как исправить баги.
#8 13 сентября 2019 в 16:15
Alya, Создайте тему или напишите в теме недобросовестные исполнители, со всеми доказательствами, что бы я тоже мог ответить и показать всю историю взаимодействий.
Не знаю кто сейчас с Вами работает, но уверен через несколько месяцев про него будете писать тоже самое, потому что про предыдущего разработчика говорили так же.

По теме: Проблема уязвимости решена благодаря автору темы
#9 13 сентября 2019 в 16:20


Fuze, ТС явно не любит пиар и шумиху. Очень сильный и надежный разработчик. Сколько он наисправлял мне разработок из каталога — просто не счесть. Сколько сделал полезных разработок лично мне, которые бы пользовались спросом у сообщества — тоже немало.

предлагаю ввести роялти (с размещения (фикс допустим ) и продаж (%) в сторону площадки) и всё таки реализовать автоматизацию покупки

ideasdigger
Полностью поддерживаю данное предложение!

AndroS

"Очень сильный и надежный разработчик." — полностью с вами согласен! То же постоянно обращаюсь к нему за помощью.
Прикрепленный файл
s1200_pkosg.jpg 59 Кб
#10 13 сентября 2019 в 16:30

Проблема уязвимости решена

Evanescence
А можно на версии движка 2.11 посмотреть? А то обновление только на 2.12 идёт.
#11 13 сентября 2019 в 16:40
@alekgla, Серьезной зависимости к 1.12 нет, я просто поставил, думал все уже обновили.
Можете открыть в архиве обновления файл manifest.ru.ini и строку 17 заменить на
core=2.11
#12 13 сентября 2019 в 16:52

Серьезной зависимости к 1.12 нет

Evanescence
Спасибо большое. Сейчас попробую.
Всё отлично — обновил!
#13 13 сентября 2019 в 17:03

Автор не аккуратный

Alya

Evanescence, очень аккуратный разработчик. Так у каждого может быть. Нашли и хорошо. Он сразу сделал обновление…
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.