doma > Pohištvo

Registracija uporabnikov komponente Inurl je neomejena. Kvačkanje in pletenje - vzorci in vzorci pletenja. Zbiranje statistike iskanja v Joomli

Pletenje spadajo v priljubljen postopek izdelave izdelkov, običajno so to elementi oblačil, v zadnjem času pa je postalo priljubljeno tudi pletenje različnih dodatkov, nakita in gospodinjskih predmetov. Zgodovinsko je potrjeno, da je bilo pletenje poznano že v starih časih. Prvi najdeni pleteni predmeti segajo v 3. stoletje, ki so bili odkriti med izkopavanji v Peruju. Tudi v IV-V stoletjih. visoko kakovostne pletenine so našli v koptskih grobnicah v Egiptu, na podlagi teh podatkov domnevamo, da je bila tehnika pletenja znana že dolgo pred tem.

Dandanes je pletenje ena izmed najljubših dejavnosti žensk, ki je na voljo vsem. V osnovi naš portal predstavlja delo dveh tehnik pletenja – kvačkanje in pletenje. Kvačkanje odlikuje ga sposobnost hitrega ustvarjanja ne le gostih in reliefnih vzorcev, temveč tudi tankih, občutljivih. Pletenje priljubljena, ker vam pletenje omogoča ustvarjanje toplih oblačil in občutljivih čipk.

Pletilni portal "Naša preja"

Na portalu "Naša preja" lahko preučujete modele, vzorce, kvačkani vzorci in pletilne igle brezplačno. Prav tako so za začetnike na voljo vsi materiali odsekov - kvačkanje in pletenje. Glavni razdelki portala so “Pletenje za ženske”, “Pletenje za moške”, “Pletenje za otroke”, “Pletenje za dom”, “Pletenje dodatkov” in “Pletenje za živali”. Vsak odsek ima svoje naslove kvačkanja in pletenja. In večina izdelkov prihaja z vzorci pletenja.

Svoje pletenje nam lahko pošljete tudi mi, ki jih bomo zagotovo objavili v rubriki "Vaše delo", najbolj nadarjene avtorice pa čaka presenečenje - objava v rubriki "Pletam po naročilu", kamor bomo pletenje umestili pogoje za naročilo in vaše kontaktne podatke. Upamo, da vam bo naš portal všeč in boste našli zanimive informacije o kvačkanju ali pletenju zase!

Opis

Konfiguracija uporabniških možnosti omogoča nastavitev parametrov, ki se uporabljajo globalno za vse uporabnike. Nadzirajte uporabo Captcha, dovoljeno registracijo in vrsto registracije, privzeto skupino novih uporabnikov, ponastavitev gesla ali števca uporabniškega imena in e-poštno obvestilo o registraciji novega uporabnika za administracijo.

Kako dostopati

V Upravitelju uporabnikov: Uporabniki kliknite Opcije gumb na vrhu. The Opcije Gumb je v vsakem razpoložljivem uporabniškem meniju.

Posnetek zaslona

Podrobnosti

Uporabniške možnosti

  • Dovoli registracijo uporabnika... Ja ali ne. Če je nastavljeno Da, se lahko uporabniki registrirajo na sprednji strani spletnega mesta s povezavo Ustvari račun, ki je na voljo v modulu Prijava. Če je nastavljena na Ne, povezava »Ustvari račun« ne bo prikazana. Od Joomle 3.4 je ta možnost za nove namestitve privzeto nastavljena na Ne.
  • Nova skupina za registracijo uporabnikov... Skupina, ki so ji uporabniki privzeto dodeljeni, ko se registrirajo na spletnem mestu. Privzeto je registrirano.
  • Skupina gostujočih uporabnikov... Skupina, v katero so razporejeni gostje. (Gostje so obiskovalci spletnega mesta, ki niso prijavljeni.) To je privzeto nastavljeno na Javno. Če to spremenite v drugo skupino, je mogoče na spletnem mestu ustvariti vsebino, ki je vidna gostom, vendar ni vidna prijavljenim uporabnikom. Glejte Omogočanje dostopa samo gostom do elementov in modulov menija.
  • Pošlji geslo... Če je nastavljeno na Da, bo prvo geslo uporabnika poslano po e-pošti kot del registracijske pošte.
  • Aktivacija novega uporabniškega računa.
    • Nobena... Uporabniški račun bo aktiven takoj in ne bo potrebno ukrepati.
    • sebe... Uporabnik bo prejel e-poštno sporočilo s povezavo za aktivacijo. Račun bo aktiviran, ko uporabnik klikne povezavo za aktivacijo.
    • skrbnik... Uporabnik bo prejel e-pošto s povezavo za aktivacijo. Ko uporabnik klikne to povezavo, bo skrbnik spletnega mesta obveščen po e-pošti in skrbnik spletnega mesta mora aktivirati uporabniški račun.
  • Pošlji e-pošto skrbnikom... Pošlji e-poštno obvestilo skrbnikom z Aktivacija uporabniškega računa nastavljena Nobena oz sebe.
  • Captcha... Uporabite Captcha za registracijo uporabniškega računa in opomnike uporabniškega imena ali uporabniškega gesla.
  • Uporabniški parametri frontenda... Pokaži ali skrij. Če je nastavljeno na Pokaži, bodo uporabniki lahko spreminjali svoje nastavitve jezika, urejevalnika in pomoči na sprednji strani spletnega mesta. Če je nastavljeno na Skrij, uporabnik teh nastavitev ne bo mogel spremeniti.
  • Frontend Jezik... Privzeti jezik spletnega mesta.
  • Spremeni uporabniško ime... Dovoli uporabniku, da spremeni uporabniško ime.

Možnosti domene e-pošte

Vnesite seznam dovoljenih in nedovoljenih e-poštnih domen. Privzeto so dovoljene vse domene.

Možnosti gesla

  • Največje število ponastavitve... Največje dovoljeno število ponastavitev gesla v časovnem obdobju. Nič ne pomeni omejitve.
  • Ponastavi čas... Časovno obdobje v urah za ponastavitev števca.
  • Najmanjša dolžina... Nastavite najmanjšo dolžino za geslo.
  • Najmanjša cela števila... Nastavite najmanjše število celih števil, ki morajo biti vključena v geslo.
  • Minimalni simboli... Nastavite najmanjše število simbolov (npr [email protected]# $) zahteva geslo.
  • Najmanj velike črke... Nastavite najmanjše število velikih abecednih znakov, potrebnih za geslo.

Zgodovina opomb uporabnikov

  • Omogoči različice.(Da / Ne). Ali želite shraniti zgodovino različic za to komponento. Če ne, zgodovina različic ne bo shranjena za elemente komponent ali kategorije te komponente.
  • Največje število različic. Največje število različic, ki jih je treba shraniti za element. Če je element shranjen in je doseženo največje število različic, bo najstarejša različica samodejno izbrisana. Če je nastavljena na 0, različice ne bodo nikoli samodejno izbrisane. Prav tako so lahko določene različice označene kot "Keep Forever" in ne bodo samodejno izbrisane. Upoštevajte, da lahko različice izbrišete ročno z gumbom Izbriši na zaslonu Zgodovina različic.

Uporabniki množične pošte

  • Predpona predmeta... Vnesite neobvezno besedilo, ki bo samodejno vstavljeno pred zadevo množičnega e-poštnega sporočila.
  • Poštna pripona... Vnesite neobvezno besedilo, ki bo samodejno vstavljeno za telo e-pošte (na primer podpis).

Napredno

  • Dovoljenja naprednih uporabnikov... Prikažite poročila o dovoljenjih naprednih uporabnikov.
  • Dovoljenja za napredne skupine... Prikažite poročila o dovoljenjih za napredne skupine.

Integracija

  • Usmerjanje URL-jev... Sodobno usmerjanje omogoča napredne funkcije, vendar lahko spremeni vaše URL-je. Podedovano usmerjanje zagotavlja popolno združljivost za obstoječa spletna mesta. To je konfigurirano za vsako komponento.
  • Omogoči polja po meri... Omogočite ustvarjanje polj po meri.

Dovoljenja

Ta razdelek prikazuje konfiguracijo dovoljenj za uporabnike. Na zaslonu je prikazano naslednje.

Če želite spremeniti dovoljenja za to razširitev, naredite naslednje.

  • Izberite Skupina s klikom na njen naslov, ki se nahaja na levi strani.
  • Poiščite želeno Ukrep... Možna dejanja so:
    • Konfigurirajte ACL in možnosti... Uporabniki lahko urejajo možnosti in dovoljenja te razširitve.
    • Konfigurirajte samo možnosti... Uporabniki lahko urejajo možnosti razen dovoljenj te razširitve.
    • Dostop do skrbniškega vmesnika... Uporabniki lahko dostopajo do uporabniškega skrbniškega vmesnika te razširitve.
    • Ustvari: Uporabniki lahko ustvarijo vsebino te razširitve.
    • Izbriši: Uporabniki lahko izbrišejo vsebino te razširitve.
    • Uredi: Uporabniki lahko urejajo vsebino te razširitve.
    • Uredi stanje: Uporabnik lahko spremeni objavljeno stanje in povezane informacije za vsebino te razširitve.
    • Uredi lastno: Uporabniki lahko urejajo lastno ustvarjeno vsebino te razširitve.
  • Izberite želeno dovoljenje za dejanje, ki ga želite spremeniti. Možne nastavitve so:
    • Podedovano: Podedovano za uporabnike v tej skupini iz dovoljenj za globalno konfiguracijo te razširitve.
    • Dovoljeno: Dovoljeno za uporabnike v tej skupini. Upoštevajte, da če je to dejanje zavrnjeno na eni od višjih ravni, dovoljenje tukaj ne bo veljalo. Zavrnjene nastavitve ni mogoče preglasiti.
    • Zavrnjeno: Zavrnjeno za uporabnike v tej skupini.
  • Kliknite Shrani v Orodna vrstica na vrhu. Ko se zaslon osveži, bo v stolpcu Izračunana nastavitev prikazano dejansko dovoljenje za to skupino in dejanje.

1

Kako lahko omejite ali onemogočite dostop do komponente / uporabnikov /? Ogled = registracija? Nekdo je poskušal vdreti v strankino spletno mesto tako, da je odšel neposredno na domain.com/component/users/?view=registration in se registriral kot uporabnik. Edini razlog, zakaj se je to zgodilo, je bil njihov e-poštni naslov, ker je bil njihov nabiralnik poln. To posebno spletno mesto Joomla 2.5 nima na zaslonu prikazanega modula za registracijo. Prav tako je / skrbnik že zaščiten z geslom z .htaccess.

Ali obstaja način, da se nekje v Joomli zaprete, da uporabnikom onemogočite registracijo tako komponenta /uporabniki /? Pogled = registracija ne deluje? Ali pa bi morala biti komponenta /uporabniki /? Pogled = registrirati se, zaščiten z geslom z .htaccess? Zahvale gredo!

  • 2 odgovora

    • Razvrščanje:

    dejavnost

2

Ja, obstaja. V ozadju odprite Uporabniki> Upravitelj uporabnikov. Pri nalaganju kliknite gumb "Možnosti" v podmeniju. Prva možnost na zavihku Komponenta je radio, ki omogoča ali ne dovoljuje registracije uporabnika.

Zdaj, ko nekdo (ali kakšen bot) poskuša iti neposredno na registracijo uporabnika, je samodejno preusmerjen na posebno stran dnevnika. Kar je brez računa precej neuporabno.

Prav tako lahko vstavite 301 preusmeritev v vaš root.htaccess za vse URL-je in jih preusmerite na domačo stran.

Preusmeritev 301 /index.php?option=com_users&view=registration http://www.mywebsite.com/

Danes bomo razmišljali o izkoriščanju kritične 1-dnevne ranljivosti v priljubljenem CMS Joomla, ki je konec oktobra zagrmela na internetu. O ranljivostih bomo govorili s številkami CVE-2016-8869, CVE-2016-8870 in CVE-2016-9081... Vsi trije izhajajo iz enega kosa kode, ki je pet dolgih let obležal v drobovju okvirja in čakal na svojo uro, da se osvobodi in s seboj prinese kaos, vdrta spletna mesta in solze nedolžnih uporabnikov te Joomle. Le najbolj pogumni in drzni razvijalci, katerih oči so rdeče od svetlobe monitorjev, njihove tipkovnice pa so posute z drobtinami, so lahko izzvali podivjane zle duhove in položili glave na oltar popravkov.

OPOZORILO

Vse informacije so podane samo v informativne namene. Niti uredništvo niti avtor nista odgovorna za morebitno škodo, povzročeno z materiali tega članka.

Kako se je vse začelo

6. oktobra 2016 je Demis Palma ustvaril temo na Stack Exchange, v kateri je vprašal: zakaj pravzaprav v različici Joomla 3.6 obstajata dva načina za registracijo uporabnikov z istim imenom register ()? Prvi je v UsersControllerRegistration, drugi pa v UsersControllerUser. Damis je želel vedeti, ali se nekje uporablja metoda UsersControllerUser :: register () ali je to le evolucijski anahronizem, ki je ostal iz stare logike. Skrbelo ga je dejstvo, da tudi če te metode ni uporabil noben pogled, bi jo še vedno lahko priklicali z ustvarjeno zahtevo. Na kar sem prejel odgovor razvijalca pod vzdevkom itoctopus, ki je potrdil, da težava res obstaja. In poslal poročilo razvijalcem Joomle.

Nadaljnji dogodki so se razvijali najhitreje. 18. oktobra razvijalci Joomla sprejemajo poročilo Damisa, ki je do takrat skiciral PoC, ki omogoča registracijo uporabnikov. Na svoji spletni strani je objavil zapisek, kjer je orisal težavo, ki jo je našel, in svoja razmišljanja o tej zadevi. Istega dne je izšla nova različica Joomle 3.6.3, ki še vedno vsebuje ranljivo kodo.

Po tem Davide Tampellini odpravi napako v stanje registracije ne preprostega uporabnika, temveč skrbnika. In že 21. oktobra v varnostno ekipo Joomla prispe nov primer. Govori se že o stopnjevanju privilegijev. Istega dne se na spletnem mestu Joomla pojavi obvestilo, da bo v torek, 25. oktobra, izšla naslednja različica s serijsko številko 3.6.3, ki odpravlja kritično ranljivost v jedru sistema.

25. oktobra Joomla Security Strike Team najde zadnjo težavo, ki jo ustvari del kode, ki ga je odkril Damis. Nato je potrditev z dne 21. oktobra z neopaznim imenom Prepare 3.6.4 Stable Release potisnjena v glavno vejo uradnega repozitorija Joomla, ki odpravlja nesrečno napako.

Po tem izidu se na sestanek razvijalcev povežejo številni zainteresirani posamezniki - začnejo odvijati ranljivost in pripravljati podvige.

27. oktobra raziskovalec Harry Roberts v skladišče Xiphos Research naloži že pripravljen izkoriščanje, ki lahko naloži datoteko PHP na strežnik z ranljivim CMS.

Podrobnosti

No, z ozadjem smo končali, preidimo na najbolj zanimiv del – analizo ranljivosti. Kot testno različico sem namestil Joomla 3.6.3, tako da bodo vse številke vrstic ustrezne za to različico. In vse poti do datotek, ki jih vidite spodaj, bodo označene glede na koren nameščenega CMS.

Zahvaljujoč odkritju Damisa Palme vemo, da obstajata dva načina, ki izvajata registracijo uporabnikov v sistemu. Prvo uporablja CMS in se nahaja v datoteki /components/com_users/controllers/registration.php:108. Drugi (tisti, ki ga moramo poklicati) živi v /components/com_users/controllers/user.php:293. Oglejmo si ga podrobneje.

286: / ** 287: * Metoda za registracijo uporabnika. 288: * 289: * @return boolean 290: * 291: * @od 1.6 292: * / 293: register javnih funkcij () 294: (295: JSession :: checkToken ("objava") ali jexit (JText :: _) ("JINVALID_TOKEN")); ... 300: // Pridobi podatke obrazca 301: $ data = $ this-> input-> post-> get ("user", array (), "array");. .. 315: $ return = $ model-> validate ($ obrazec, $ data); 316: 317: // Preverite napake. 318: if ($ return === false) 319: (... 345: / / Dokončaj registracijo.346: $ return = $ model-> register ($ data);

Tukaj sem pustil le zanimive vrstice. Celotno različico ranljive metode si lahko ogledate v skladišču Joomla.

Ugotovimo, kaj se zgodi med običajno registracijo uporabnika: kateri podatki se pošiljajo in kako se obdelujejo. Če je v nastavitvah omogočena registracija uporabnika, lahko obrazec najdete na naslovu http: //joomla.local/index.php/component/users/? Pogled = registracija.


Zahteva za legitimno registracijo uporabnika je videti kot naslednji posnetek zaslona.


Komponenta com_users je odgovorna za delo z uporabniki. Bodite pozorni na parameter naloge v zahtevi. Je v obliki $ krmilnik. $ Metoda. Oglejmo si strukturo datoteke.

Imena skriptov v mapi krmilniki ustrezajo imenom klicanih krmilnikov. Ker naša zahteva zdaj vsebuje $ controller = "registration", bo datoteka poklicana registracija.php in njegova metoda register ().

Pozor, vprašanje: kako prenesti obdelavo registracije na ranljivost v kodi? Verjetno ste že uganili. Imena ranljivih in pravih metod sta enaka (registriraj), zato moramo samo spremeniti ime klicanega krmilnika. Kje se nahaja ranljiv krmilnik? Tako je, v datoteki uporabnik.php... Izkazalo se je $ controller = "uporabnik". Vse skupaj združimo in dobimo nalog = user.register. Zdaj je zahteva za registracijo obdelana na način, ki ga potrebujemo.


Druga stvar, ki jo moramo storiti, je poslati podatke v pravilni obliki. Tukaj je vse preprosto. Legitimni register () od nas pričakuje matriko, imenovano jform, v katero posredujemo podatke za registracijo - ime, prijavo, geslo, pošto (glej posnetek zaslona z zahtevo).

  • /components/com_users/controllers/registration.php: 124: // Pridobite uporabniške podatke. 125: $ requestData = $ this-> input-> post-> get ("jform", array (), "array");

Naš oddelek te podatke dobi od niza z imenom uporabnik.

  • /components/com_users/controllers/user.php: 301: // Pridobite podatke obrazca. 302: $ data = $ this-> input-> post-> get ("user", array (), "array");

Zato spremenimo imena vseh parametrov v zahtevi iz jfrom v user.

Naš tretji korak je najti veljaven žeton CSRF, saj brez njega ne bo registracije.

  • /components/com_users/controllers/user.php: 296: JSession :: checkToken ("objava") ali jexit (JText :: _ ("JINVALID_TOKEN"));

Izgleda kot hash MD5 in ga lahko vzamete na primer iz obrazca za avtorizacijo na spletnem mestu /index.php/component/users/?view=login.


Zdaj lahko ustvarite uporabnike z želeno metodo. Če se je vse izšlo, potem čestitke - pravkar ste izkoristili ranljivost CVE-2016-8870"Manjka preverjanje dovoljenj za registracijo novih uporabnikov."

Takole je videti v metodi "delovnega" registra () iz krmilnika UsersControllerRegistration:

  • /components/com_users/controllers/registration.php: 113: // Če je registracija onemogočena - Preusmeri na stran za prijavo. 114: if (JComponentHelper :: getParams ("com_users") -> get ("allowUserRegistration") == 0) 115: (116: $ this-> setRedirect (JRoute :: _ ("index.php? Možnost = com_users & pogled = prijava ", false)); 117: 118: vrni false; 119 :)

In tako pri ranljivih:

  • /components/com_users/controllers/user.php:

Ja, nikakor.

Da bi razumeli drugo, veliko bolj resno težavo, pošljimo zahtevo, ki smo jo oblikovali, in zasledimo, kako se izvaja v različnih delih kode. Tukaj je kos, ki je odgovoren za preverjanje veljavnosti uporabniških podatkov v delovni metodi:

Nadaljevanje je na voljo samo udeležencem

Možnost 1. Pridružite se skupnosti "site" in preberite vsa gradiva na spletnem mestu

Članstvo v skupnosti v določenem obdobju vam bo odprlo dostop do VSEH Hackerjevih materialov, povečalo vaš osebni kumulativni popust in vam omogočilo, da pridobite profesionalni rezultat Xakep!

V Joomli so po uspešni registraciji uporabniki privzeto preusmerjeni na a stran za prijavo(če računa ni treba aktivirati). Od tam (po prijavi) so uporabniki preusmerjeni na uporabniški profil stran. To se zgodi tudi, če imate v nastavitvi Preusmeritev prijave na nekaj drugega Modul obrazca za prijavo.

Če želite spremeniti to vedenje, lahko uporabnike po registraciji preusmerite na katero koli drugo stran na vašem spletnem mestu.
Če želite to narediti, morate urediti osnovno datoteko Joomla. Zavedajte se, da lahko posodobitev Joomla prepiše vaše spremembe. Vedno dokumentirajte spremembe, ki jih naredite v osnovnih datotekah Joomla, tako da jih lahko po potrebi hitro ponovite.

Odpri datoteko:
komponente / com_users / krmilniki / register.php

Pomaknite se navzdol do samega dna. Začetna vrstica 162 ali tako boste imeli tekočo kodo:

if ($ return === "adminactivate") ($ this -> setMessage (JText :: _ ()); $ this -> setRedirect (JRoute :: _ (, false));) else if ($ return == = "uporabnik aktivira") ($ to -> setMessage (JText :: _ ()); $ to -> setRedirect (JRoute :: _ ( "index.php? možnost = com_users & pogled = registracija in postavitev = dokončana", napačno)); ) drugače ($ to -> setMessage (JText :: _ ()); $ to -> setRedirect (JRoute :: _ ( "index.php? možnost = com_users & pogled = prijava", napačno)); )

V tem razdelku imate 3 povezave, ki se začnejo z index.php?

  • Prvi () se izvede po registraciji uporabnika, če mora račun aktivirati skrbnik
  • Drugič ( index.php? možnost = com_users & pogled = registracija in postavitev = dokončana), če mora račun aktivirati uporabnik
  • Tretji ( index.php? možnost = com_users & pogled = prijava), če aktivacija računa ni potrebna.

Zamenjajte povezave glede na vrsto registracije, ki jo uporabljate, s POLNIM URL-jem vaše strani za preusmeritev in končali ste.
Na primer, če aktivacija uporabnika na mojem spletnem mestu ni potrebna in želim uporabnike po registraciji preusmeriti na http://www.mywebsite.com/welcome-reg posodobljena koda bo:

// Preusmeri na zaslon profila. if ($ return === "adminactivate") ($ this -> setMessage (JText :: _ ( "COM_USERS_REGISTRATION_COMPLETE_VERIFY")); $ this -> setRedirect (JRoute :: _ ( "index.php? možnost = com_users & pogled = registracija in postavitev = dokončana", napačno)); ) sicer če ($ return === "uporabnik aktivira") ($ to -> setMessage (JText :: _ ( "COM_USERS_REGISTRATION_COMPLETE_ACTIVATE")); $ this -> setRedirect (JRoute :: _ ( "index.php? možnost = com_users & pogled = registracija in postavitev = dokončana", napačno)); ) drugače ($ to -> setMessage (JText :: _ ( "COM_USERS_REGISTRATION_SAVE_SUCCESS")); $ this -> setRedirect (JRoute :: _ ( "http://www.mywebsite.com/welcome-reg" , napačno)); )

Ne glede na to, na katero stran na vašem spletnem mestu preusmerite, sistemsko sporočilo " Hvala za registracijo..."bo še vedno prikazano. Če tega sporočila ne želite", odstranite celotno vrstico nad URL-jem za preusmeritev. npr. $ this-> setMessage (JText :: _ ("COM_USERS_REGISTRATION_SAVE_SUCCESS"));

Če ne potrebujete aktivacije računa (aktivacija novega uporabniškega računa je nastavljena na Nobena) to je vse, kar potrebujete, da se izognete strani uporabniškega profila. Če pa mora uporabnik aktivirati račun po e-pošti (Aktivacija računa je nastavljena na sebe) to morda ne bo dovolj. Takoj po registraciji bo uporabnik po pričakovanjih preusmerjen na spletno stran, ki ste jo vnesli v kodo. Ko pa uporabnik klikne povezavo v aktivacijskem e-poštnem sporočilu, bo preusmerjen na prej omenjeni obrazec za prijavo in če ga uporabi za prijavo, bo prišel na stran Uporabniški profil. Če želite to preprečiti, lahko popolnoma onemogočite stran uporabniškega profila in namesto tega preusmerite uporabnike na katero koli stran, ki vam je všeč. Preberite ta članek, če želite izvedeti, kako.

Joomla 1.6
Joomla 1.7
Joomla 2.5

Priporočamo tudi

Nalaganje ...Nalaganje ...