- Предыдущая
- 1
- 2
- Показаны 16-23 из 23
Они по доброте душевной присвоили себе багрепорт, что не совсем верно. Они действительно присылали сообщения об уязвимостях, но тогда, когда они уже были закрыты нами без чьей-либо помощи.Positive Technologies расковыряли код InstantCMS на предмет дырок.
По поводу последней описываемой там уязвимости могу прокомментировать лишь то, что ее реализация крайне маловероятна. И как они сами подчеркнули
Т.е. задавать session.save_path средствами CMS неправильно. Изолированность сайтов должна быть обеспечена средствами серверных настроек. Все остальные решения неверные.Возьмем простейший пример — виртуальный хостинг с общим хранилищем сессий. У хостинга есть ошибка конфигурации — значение директивы PHP session.save_path, которое по умолчанию равно /tmp
А по поводу sql инъекций в админке — это давно известный факт. И мы много раз рекомендовали обезопасить админку средствами прав доступа к директориям apache или же выставив в админке в настройках доступ по ip. И на данный момент в админке есть sql ij уязвимости. Но для их реализации нужен админдоступ соответственно.
Нет, им мы ничего не заказывали, тот старый аудит выполнялся другим человеком. Присылали они багрепорты исключительно по своей инициативе.Если я правильно понял, то аудит заказывали как раз этой фирме.
1.10.3 по-видимому.так а всеже на какой версии эти уязвимости?
на последних версиях первой ветки спама быть не должно (т.к. полностью изменен алгоритм токенов регистрации, восстановления пароля и активации), либо он неавтоматический.сейчас реальные проблемы это спам, который проскакивает время от времени на блоги и форум
Не думал, что когда-то скажу тебе это, но ты прав, более того, они это особенно не скрывают.А все эти исследования имхо больше пиар.
Но, несмотря ни на что, нам и вам, пользователям, все это только на руку, за что им и спасибо.
Нам же лишняя реклама не помешает, полностью согласен с вами.нам и вам, пользователям, все это только на руку
Петрмаг, знаешь как маркетологи говорятРеклама должна быть ЗДОРОВАЯ
не важно что о тебе говорят — лишь бы говорили
много народу и по сей день не слышало про инстант, а кто заинтересуется так в поиске есть куча другой разной инфы про инстант
Я про вп например читал, что тоже куча уязвимостей есть, и что теперь????
про ДЛЕ — так там тоже имеется куча того же…
А другие люди ищут как этот код взломать.
Реклама должна быть ЗДОРОВАЯ и все понимать-что реклама -это правдивая, тогда люди сами потянутся
Это как раз здоровая реклама, не так ли?))В настоящее время разработчик InstantCMS устранил все обнаруженные нами уязвимости.
- Предыдущая
- 1
- 2
- Показаны 16-23 из 23