Безопасность

Вопросы безопасности сайтов

 
Sometime CMS Community
Посетитель
no avatar
Сообщений: 5
Вот тут столкнулся с тем что сахалинский портал сделаный на Инстанете убили.. http://www.sakhportal.com/
Я обеспокоился за судьбу своего проэкта. Кто что про эьо думает, и как можно обезопаситься.
Sometime CMS Community
Посетитель
no avatar
Медаль
Сообщений: 504
Имхо, взломали через хостера, а не через дыру в InstantCMS.

Не то что бы я был на 100% уверен в непробиваемости движка,
просто если бы взломали один сайт то поломали бы и другие
- копирайт движка на сайте висел.

Хотел почитать что пишут у их хостера на форуме, есть ли разговоры...,
но оказалось форум закрыт,
Don’t worry, we will be back shortly with an updated forum. It will only be a minute ;).

Ну и еще одни маленький факт:
Сервера располагаются в Америке, а взломали турки.
Я скорее поверю что турки "недолюбливают" американцев,
чем восточных россиян...
Редактировалось: 1 раз (Последний: 5 июня 2009 в 23:48)
Реклама
cms
Sometime CMS Community
Посетитель
no avatar
Сообщений: 1
Я думаю здесь стоит просто тестить и проверять на уязвимости. Разработчики тоже люди и могут ошибаться ) правда ссылки с панели багтрека чего то ведут в никуда.

Просто я например этот момент взял на вооружение и буду отискивать уязвимости smile Даже если их там нет это не значит что их там не может быть.
Sometime CMS Community
Посетитель
no avatar
Сообщений: 5
Ну и еще одни маленький факт: Сервера располагаются в Америке, а взломали турки. Я скорее поверю что турки "недолюбливают" американцев, чем восточных россиян...
У меня по joomlовским сайтам так однажды прошлись, и тоже кстати турки. Так что я их не долюбливаю уже. а хостер был местный, питерский. И прошлись сразу по 3ем или 4ем сайтам, потом с народом говорил, окозалось не только у меня. Просто очень бы не хотелось повторения на Инстанте, может вместе попробуем получше дырки поискать...
Sometime CMS Community
Посетитель
no avatar
Медаль
Сообщений: 504
Ivan:
У меня по joomlовским сайтам так однажды прошлись, и тоже кстати турки. Так что я их не долюбливаю уже. а хостер был местный, питерский. И прошлись сразу по 3ем или 4ем сайтам, потом с народом говорил, окозалось не только у меня.
Я про это и говорил, была бы дырка на InstantCMS, турки бы прошлись бы по всем. А так явно прошлись по другой дыре.

Ivan:
Просто очень бы не хотелось повторения на Инстанте,
Гарантировать никто не может, хотя инстантовцы неплохо уделяют внимание безопасности движка.

Ivan:
может вместе попробуем получше дырки поискать...
Это как?
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1897
Maximov:
Я про это и говорил, была бы дырка на InstantCMS, турки бы прошлись бы по всем. А так явно прошлись по другой дыре.
Ну не надо быть наивными и верить в чудо "не рушимую кмс". Думаю сплойт залили через систему. Не забывайте что система молодая и разрабатывается не сотней человек. Хотя те что разрабатываются сотней человек, так же ломаются.
Может конечно там какой нить флеш чат был прикручен или модуль без фильтрации, их очень любят турки.
Но в любом случаи нужно всем по возможности озаботится проверкой системы.

Maximov:
может вместе попробуем получше дырки поискать...
Если нет возможности самому искать, то есть смыл заказать проверку у каконить команды. Например у inattack. Это конечно если вы делаете серьезный и долгоиграющий проект. Либо узнать стоимость и предложить всем скинуться на это дело.
Редактировалось: 1 раз (Последний: 6 июня 2009 в 09:05)
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 330
garry:
есть смыл заказать проверку у каконить команды. Например у inattack. Это конечно если вы делаете серьезный и долгоиграющий проект. Либо узнать стоимость и предложить всем скинуться на это дело.
В любом случае -серьёзный, несерьёзный проект - недоброжелатели всегда найдутся. Особенно, если проект серьёзный и конкурентный. Поэтому проверку надо учинить обязательно, чтобы потом не кусать локти.
Вопрос в том, кто проведёт работу качественно, и сколько это будет стоить?
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1897
Я написал куда можно обратиться, как вариант (inattack).
Редактировалось: 1 раз (Последний: 6 июня 2009 в 09:27)
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Sometime CMS Community
Посетитель
no avatar
Сообщений: 71
Стопудова через хостера взломан. Т.к. файл заменен полностью, а не через интерфейс корректировка вносилась.
Sometime CMS Community
Посетитель
no avatar
Сообщений: 78
Что бы проверить уязвимости особого профессионализма не нужно. Нужна усидчивость и терпение. Необходимо проверить все инклюды (должны быть только абсолютные пути относительно корня сайта), обработку постов и гетов (в конце концов эти данные попадают в запрос к базе), фильтрацию ввода в формах (аналогично предыдущему), ну и код загрузки файлов (что б не залили шел вместо картинки). Это большой кусок работы...
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1897
KirA3342, а разве нельзя через уязвимость залить шелл, потереть всё и слить или снести базу? joke
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Sometime CMS Community
Посетитель
no avatar
Сообщений: 78
KirA3342:
Т.к. файл заменен полностью, а не через интерфейс корректировка вносилась.
если залили шел - можно делать что угодно. как вариант можно на файлы системы установить права недоступные для шела.

KirA3342 - опередил :)
Редактировалось: 1 раз (Последний: 6 июня 2009 в 10:30)
Sometime CMS Community
Посетитель
no avatar
Медаль
Сообщений: 504
garry:
Ну не надо быть наивными и верить в чудо "не рушимую кмс".
Простите, с чего Вы взяли, что я верю в нерушимость Instant?
Покажите, какие мои слова Вас в этом убедили, я их исправлю.
Моё предположение было о конкретном взломе конкретного сайта.

garry:
Думаю сплойт залили через систему.
Можно поинтересоваться почему Вы решили что залили сплоит и залили его через дыру в Инстанте? Неужели только по тому что "система молодая и разрабатывается не сотней человек"?
Редактировалось: 1 раз (Последний: 6 июня 2009 в 10:39)
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1897
Я написал что это моё мнение насчет шела. И написал что взламываются и системы которые разрабатывают и сотни человек. Намекнув что нет абсолютной. И нельзя утверждать что залито не через уязвимость.
да и не взломали бы все сразу, накой это нужно. Показала команда что может теперь ломать и эту кмс и всё. Подтвердила свой стаус и получит в дальнейшем другие заказы. Это делается либо по заказу, либо для подтверждения статуса.
Накой сносить сайты, если используя найденные уязвимости можно делать гораздо более полезные для них(хакеров) вещи.
Например сделать из сайтика файловое хранилище, рассылку и тд и тп.
Я не утверждаю что черз инстант, но проверка необходима и думаю все в этом заинтересованы.
Но в любом случаи это дело каждого, хочет делает проверку. Не хочет ждёт авось кто то выложит заплатку.

Дай бог что не через инстант. Но надо понимать что с ростом популярности и выростит внимание к ней со стороны "заинтересованных лиц"
Редактировалось: 2 раз (Последний: 6 июня 2009 в 10:59)
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4284
Instant, движок перспективный, поэтому будут и завистники и конкуренты и хулиганы, обязательно будет.
вопрос, как с наименьшими средствами это решить.
1. предложить бартер "спецам", а они нам ,а мы им
2. привлечь их к разработке
3. привлечь "их" конкурентов
иногда достаточно просто попросить, по-братски, не все в этой жизни деньгами мериться.
Но вопрос надо ставить на повестку дня уже сегодня, там постепенно к решению и выйдем .
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.