Можно ли найти уязвимость в DCMS

1. facece (14.12.2016 / 18:35)
Когда-то был сайт на движке DCMS 6.6.4 и были платные и самописные скрипты. Но меня один раз чел взломал, я так и не понял как, и он отказался рассказывать, хотя деньги были заплачены. Я сам пытался проверить, но так и ничего не нашёл. Показ ошибок был выключен, и кавычки экранировались, но как такое бывает?

2. Удаленный (14.12.2016 / 18:59)
Ну понятно, что дыра (а возможно, и не одна) была в скриптах. В самом дцмс если и есть дыры, то только бекдоры, оставленные лично Десуре, да и то не факт

3. facece (14.12.2016 / 19:10)
Ну так даже если и в скриптах. Кавычки та экранировались, и показ ошибок выключен был. Как тогда нашёл он?

4. Удаленный (14.12.2016 / 19:25)
Экранирование кавычек не всегда спасает от sql-inj, не говоря уже о других уязвимостих. Кстати, тебя мог "взломать" и твой говнохостер, теоретически

5. Saimon (03.01.2020 / 21:37)
Могу исправить пиши в телегу: @intarface

6. CHILI (03.01.2020 / 23:36)
DCMS 6.6.4 это одна сплошная дыра.
Социал на нем пилили,так в каждой обнове латали кучу дыр. Даже в последнем релизе 7-ки находили уязвимости.

7. Harmattan (03.01.2020 / 23:38)
DCMS морально устарел давно, если и смотреть кроме ротора из старых проектов двигов то на джона.

8. erasier (04.01.2020 / 04:20)

DCMS 6.6.4 это одна сплошная дыра.
Социал на нем пилили,так в каждой обнове латали кучу дыр. Даже в последнем релизе 7-ки находили уязвимости.

в чистом дцмс 6.6.4 дыр нет, их (дыры) добавили в социал сами разрабы социала. а семерка вообще сырая была и кривая, т.к. к тому времени desure походу кукушкой тронулся и начал ***ню творить на ооп

Добавлено через 01:55 сек.

DCMS морально устарел давно, если и смотреть кроме ротора из старых проектов двигов то на джона.

ты гoвнокод джона видел? он еще хуже чем у ротора последних версий

9. Harmattan (04.01.2020 / 04:25)
erasier, про какой джон речь идёт?

10. erasier (04.01.2020 / 04:27)
Harmattan, про последний. но не думаю что старые версии лучше. по-крайней мере, багов там немеряно

11. Harmattan (04.01.2020 / 04:31)
erasier, чем тебе в последнем код не правиться?

12. CHILI (04.01.2020 / 13:43)
erasier, Не соглашусь с тобой. Когда только зарождалась фиера на 664 дкмс то там тоже много дыр латали. Сейчас мастера говорят,что Saint сам устанавливает бэкдор в фиеру и социал.

13. Вантуз-мен (04.01.2020 / 14:04)
А что кстати случилось с автором dcms, Desure вроде его ник, почему он закрыл проект?

14. Денис (05.01.2020 / 08:34)
Вантуз-мен, когда то давно он вроде как написал что закрывает сайт, чтоб не нести финансовую нагрузку на содержание, но обещал что в репозитории работы будут вестись над движком, но дальнейшей причины не знаю, хотя предполагаю что всё из-за публики, ведь с новым кодом разобраться стало сложнее, аудитория ушла. dcms-social для нубов вроде меня проще, там интуитивно можно разобраться в большинстве случаев с кодом. А вот что с Дмитрием сейчас понятия не имею, самому интересно.

15. Terkin (05.01.2020 / 14:10)

А что кстати случилось с автором dcms, Desure вроде его ник, почему он закрыл проект?

Десуре все надоело,и посещялка упала на сайте dcms,вот и закрыли все

16. erasier (05.01.2020 / 15:01)

@erasier, Не соглашусь с тобой. Когда только зарождалась фиера на 664 дкмс то там тоже много дыр латали. Сейчас мастера говорят,что Saint сам устанавливает бэкдор в фиеру и социал.

ну окей, покажи хоть одну уязвимость в чистом (!) дцмс 6.6.4 . я видел гoвнокод и фиеры и социала, там жесть полная, не удивлюсь что там и сейчас полно дыр, хотя по функционалу недалеко от дцмс 6.6.4 ушли)

Добавлено через 06:31 сек.

А что кстати случилось с автором dcms, Desure вроде его ник, почему он закрыл проект?

он написал новую дцмс 7 на ооп и смарти и практически весь народ свалил от него на социал, да и сам движок вышел кривой, глючный и урезанный какой-то (что и неудивительно). кстати, с твоим движком вроде также получилось, и с джоном

17. Zдешний (05.01.2020 / 19:24)

в чистом дцмс 6.6.4 дыр нет, их (дыры) добавили в социал сами разрабы социала. а семерка вообще сырая была и кривая, т.к. к тому времени desure походу кукушкой тронулся и начал ***ню творить на ооп

Добавлено через 01:55 сек.

ты гoвнокод джона видел? он еще хуже чем у ротора последних версий

Прям повеселил

18. Гена (06.01.2020 / 00:23)
пипец джон не делает апгрейды уже лет так 10 точно. Не дизайн не модулей дополнительных анкету норм бы переделали а то стрёмные. Форум впринципе так себе.

19. CHILI (06.01.2020 / 03:44)
erasier, я не кодер,раньше имел сайт на социале и оттуда и узнавал про дыры в дкмс664.

20. msi (06.01.2020 / 04:51)
Джон мало назвать говнокодом)))Эта самая убогая цмс из всех возможных)

21. erasier (07.01.2020 / 19:12)

@erasier, я не кодер,раньше имел сайт на социале и оттуда и узнавал про дыры в дкмс664.

покажите мне хоть одну дыру в голом дцмс 6.6.4 ?

Добавлено через 02:28 сек.

Джон мало назвать говнокодом)))Эта самая убогая цмс из всех возможных)

я даже не знаю, чего там больше: гoвнокода или багов. наверно 50 на 50. причем от версии к версии количество и того и другого только увеличивается)

22. EREEEEMA (18.12.2022 / 21:29)
Денис, Фиера восстановлена и продолжает свое существование на своем домене http://dcms-help.ru

23. Денис (18.12.2022 / 22:06)
EREEEEMA, странно... Фиера существовала на другом домене и при переходе по нему как раз присутствует сообщение что появилось фейковые сайты.

24. CHILI (19.12.2022 / 01:44)
EREEEEMA, Фейк

25. Algernon Blackwood (19.12.2022 / 13:40)

Денис, Фиера восстановлена и продолжает свое существование на своем домене http://dcms-help.ru

А "свой" домен там же всегда был dcms-fiera. ru вроде?)

26. CHILI (19.12.2022 / 14:00)
Algernon Blackwood, да,а потом просто fiera.su

27. Algernon Blackwood (19.12.2022 / 15:54)

Lowe Bowe, да,а потом просто fiera.su

А этот фейковый чем отличается? Вроде домен достаточно давно зареган)

28. Smitti Nilson (20.12.2022 / 18:48)
О! Фиера запускает самостоятельный стартап! Что то интересное ! Скоро в вапе появится 3-й сайт! Жду с нетерпением

29. EREEEEMA (13.03.2023 / 00:35)
Smitti Nilson, вот этот что ли третий у них https://kypi.su ?

30. kridkon (13.03.2023 / 10:00)
Что за споры? Давайте по факту? из старых движков которые пережили вап и адаптировались под современном риале это только ротор, остальное го..о редкостное и мусор! ну в роторе код пзц конечно, простому обывателю там х...й че понять можно. а вообще всем советую пробовать ворд пресс) этот движок скоро точно захватит интирнет )

31. FUNZIGER (13.03.2023 / 17:08)
kridkon, джон вроде тоже пилят еще...

32. Smitti Nilson (14.03.2023 / 01:09)
FUNZIGER, пилят, только ни на Джоне, ни на Роторе нет сайтов нормальных кроме самих официальных. Серьезно выглядит только фронтенд cms, а если кто берет за основу готовый движок так он лох, лузер, и по-любому сайт его ГС.

33. iohann (14.03.2023 / 08:35)

Михаил, пилят, только ни на Джоне, ни на Роторе нет сайтов нормальных кроме самих официальных. Серьезно выглядит только фронтенд cms, а если кто берет за основу готовый движок так он лох, лузер, и по-любому сайт его ГС.

Ну а как ты хотел, вот поставишь ты тот же джон себе на хост, но его же допиливать надо под свои цели, не оставишь же как есть. А там гкод такой что проще с нуля новый двиг написать

34. Smitti Nilson (14.03.2023 / 10:47)
iohann, да вот именно, лучше самому писать научиться чем изучать чужой код, хотя пока чужой код будешь изучать может и научишься сам кодить (но это тавтология какая-то или хз).
Не ну как факт - хде крутые сайты на этих CMS? ЧеТо не вижу, может они как грибы попрятались и их надо искать?

ЗЫ конечно под мои например нужды тому же ротору или джону нужно многое допилить, никто не сделает за меня нужные мне плюшки и прочие фичи и модули, даже за деньги врят ли кто взялся бы, вот и выходит - садись пиши с нуля - для себя родимого сделаешь как твоей душеньке угодно.

35. iohann (23.03.2023 / 09:33)
Smitti Nilson,

пока чужой код будешь изучать может и научишься сам кодить

Мне тоже раньше так казалось, сейчас же понимаю что чужой код - это в лучшем случае нагромождение костылей и велосипедов, в худшем - еще и левых библиотек и фреймворков, восновном устаревших, и, несомненно, дырявых. Так что лучше таки делать с нуля самому, открыв в браузере документацию, благо она у пхп самая лучшая, кмк))

36. Smitti Nilson (28.03.2023 / 19:48)
iohann, ну... Да, скорее всего так есть, но есть например части кода из того же дцмс которые я использовал при модификации Джона под свои нужды, ну это всё конечно Филькина грамота...
Согласен, что надо с нуля все самому вызубрить и написать как своей душе угодно. Это долго, но торопиться вроде некуда и незачем.

URL: https://visavi.net/topics/43297