- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Он его сам и пишет.
Тогда абсолютно не вижу логики ему использовать кривое WHMCS в своих разработках для клиента ;)
LineHost
я согласен, не ошибается тот - кто ничего не делает.
тут проблема в том что они смогли допустить детские ошибки, не соблюдая элементарные правила безопасности. вроде проект серьезный, а такие оплошности, за это нужно наказывать.
что касается разработки, я все вижу проще
даже если взять весь функционал WHMS то это явно не 1 год разработки, можно сделает аналогичный по функциональности продукт за меньший срок, даже меньше чем за пол года. У многих есть уже свой движок (ядро/фреймворк) который просто обвешивают под задачи - получается очень быстро, не дорого и секьюрно.
я не разработчик и тем более не крутой, есть куда расти, я просто любитель (делаю не большие проекты) но в отличии от некоторых понимаю к каким интимным местам проекта стоит уделить больше внимания, понимаю как противодействовать sql, xss, csrf - это основа.
"P.S. Den73, если уж на то пошло, то почему используете на своём проекте бесплатный Joonte?"
потому что она очень удобная для услуг шаред-хостинга и открытая, в свободное время помогаю с развитием проекта.
код внутри уровнем выше чем WHMS, попробуйте произвести sql-инъекцию, в отличии от WHMS с этим там нет проблем, но проблемы есть другого плана (мир не идеален).
Негатив к WHMS только из за детских оплошностей, повторюсь если бы проблема была сложная то я бы отнесся с пониманием.
кстати конкурент ей прямой HostBill
"Тогда абсолютно не вижу логики ему использовать кривое WHMCS в своих разработках для клиента"
я участвую в нескольких проектах.
она больше подходит под поставленные задачи, как уже писал велосипед с нуля ни времени не желания делать нету.
Негатив к WHMS только из за детских оплошностей, повторюсь если бы проблема была сложная то я бы отнесся с пониманием.
Мне два раза вытаскивали базу клиентов с WHMS, но были наши литовские любители и они не имели злых намерений, просто хотели доказать что пора от неё отказаться. После второго взлома я разозлился и сервер подготовил так, чтобы закрыть возможность использования дыр, даже если они и появились. Мало того, как только выходит обновление, естественно моментально обновляю. Я сам хотел бы заменить билинг, но просто не на что менять. Не расматриваю разработку своего билинга, так как любому билингу будет требоватся сопровождение. Мало того, замена билинга это кошмар....
Для всех, кто использует WHMCS во первых хочу рекомендовать выполнить всё что тут выложенно. Если нет возможности для раздела на котором template_c, attachments прописать nosuid,noexec, то нафик запретить цеплять файлы, template_c запретить выполнения php скриптов. Можно сервер довести до паранои, но потом уже самому неудобно.
Лиценьзия должна быть без идентификации, то есть unbranded. Типично ищут жертв именно по футеру ;)
Дополнительно доступ по SSH только с конкретных IP или вобще только внутренняя сеть.
Правда, убрать все phpmyadmin и абсолютно всё что не надо для этого сервера, впс. Ежедневные бэкапы ни кто не отменил. И можно спать спокойно ;)
кстати конкурент ей прямой HostBill
Пока этому конкуренту до WHMCS как мне до Китая пешком.... пробовал...
это все костыли что не есть красиво, если продукт низкого качества то это не поможет.
данную фильтрацию можно обойти как минимум 3 способами:
вставить коммент прямо в оператор.
разбить оператор на 2 составляющие.
перевести оператор в ASCII
Я это все понимаю. Но ввиду двух серьезных ошибок за месяц времени это лучше чем ничего. И таки основную массу ботов убьет.
WHMCS особенно если взять прошлый случай (просто взяли и забыли заэскейпить полученные данные), такие ошибки в таких местах проекта просто смешны, это говорит о некомпетентности ихних разработчиков и экономии средств на аудите.
Индусы ведь. Что вы от них хотите? Большинство западных разработок делается индусами, причем зачастую с не очень высоким опытом. Т.к. набравшись опыта они уходят в более серьезные компании на более высокие заработки. Единственное что спасает проекты это многоуровневое тестирование которое к сожалению никогда не сможет покрыть 100% кода.
Нелепость ошибок у индусов это норма, не удивляйтесь :)
Мдя уж, ну чего же так цепляться то к людям, чисто интересно, есть софт, платный, за него заплачено, найдена уязвимость - она исправлена и наверняка она не последняя, разговоры про MS продукты в этом ключе уже видимо всем надоели, теперь будем перемывать кости соседу Косте? :) Den73, верно говоришь, кто ничего не делает тот не ошибается, по этому я лично считаю что огромный респект ребятам за то что они в течении пары дней решили проблему, как бы она не выглядела.... Есть куда более печальные случаи.... Ну а если ваша админка разрешает входить откуда угодно и все остальное описанное выше - так тут и register globals не при чем :)
Update до 5.2.10, сейчас начнется по новой:D
Локации: Россия, США, Англия, Германия, Франция, Нидерланды, Украина, Сингапур, Австралия, Япония, Австрия (https://www.adelinahost.com/ru)
Это уже не смешно.
Видимо 5.2.9 делали на коленке, что-то упустили. Хотя, единственное радует то, что хоть какие-то дыры закрывают более-менее оперативно, если бы еще остальные баги так же латали, цены бы не было поддержке. Кто-нибудь знает, как поправить выделение всех записей в таблице, например в "активных заказах"? Баг репорт отсылал давным-давно, а поправят только в 5.3.
Это уже не смешно.
Я же сказал, что не последняя :D :D :D
Ждем 5.2.11 ;)