Comments 34
Начал читать, наткнулся на опечатку, хотел отправить автору, но после того как нашел пятую решил что лучше оставлю комментарий. Проверьте орфографию, пожалуйста.
У вас три запятые потерялись, держите: ,,,
Рекурсивный троллинг? Я тоже так умею.
Местоимения Вы и Ваш пишутся с прописной (большой) буквы при обращении к одному лицу; при обращении к нескольким лицам следует писать вы и ваш со строчной буквы.
www.gramota.ru/spravka/letters/?rub=rubric_88
Местоимения Вы и Ваш пишутся с прописной (большой) буквы при обращении к одному лицу; при обращении к нескольким лицам следует писать вы и ваш со строчной буквы.
www.gramota.ru/spravka/letters/?rub=rubric_88
За что минус? В посте было 10 ошибок типа «кортошка» «реали» «никога»
ИМХО, на хабре редко кого заботит орфография, пунктуация и проч. мелочи жизни что ли. Комментарии под статьями по поводу правописания обычно минусуются — либо потому что как бэ принято сообщать в личку (праведный путь), либо потому что минусуюшие сами не сторонники орфографий/пунктуаций. Иногда просто хочется бросить и не читать (эта статья в момент ее прочтения более-менее). Вики в этом плане куда лучше, даже на лурке меньше ошибок в статьях делают.
Не нравится орфография — напиши автору в личку. Мне так делали. Гораздо проще и красивее, чем выпячивать свою грамотность!
Ну Вы же сами выше писали — за троллинг, я полагаю
Спасибо, оперативно исправил.
Дырявы все популярные CMS. И дыры постоянно появляются. А модули, компоненты, плагины- вообще пишут студенты на коленке.
Можно просто добавить сайт в вебмастер гугла и яндекса, бекапить ежедневно и следить когда взломают, как правило добавляют вредоносный код в страницу либо ссылки пихают. Накатываем бекап, исправляем косяк и живем дальше. А клиенту отчет о том что поддержка сайта устранила последствия взлома и уязвимость. Не зря же за поддержку деньги берем.
Можно просто добавить сайт в вебмастер гугла и яндекса, бекапить ежедневно и следить когда взломают, как правило добавляют вредоносный код в страницу либо ссылки пихают. Накатываем бекап, исправляем косяк и живем дальше. А клиенту отчет о том что поддержка сайта устранила последствия взлома и уязвимость. Не зря же за поддержку деньги берем.
Уважаемый, а рассказать о «дыре» клиенту, который вам за поддержку платит — да/нет?
ну вы заплатили в жкх за «текущее содержание»… а тут вдруг хоп и ручка двери скрипеть начала, а «жэк» вместо того чтобы «подкрутить и исправить» ждёт пока отломают… и тд и тп…
ну вы заплатили в жкх за «текущее содержание»… а тут вдруг хоп и ручка двери скрипеть начала, а «жэк» вместо того чтобы «подкрутить и исправить» ждёт пока отломают… и тд и тп…
Рассказать заказчику о том что на сайтах безопасности появилась информация об уязвимости- да.
Забивать на установку патчей безопасности cms и ее модулей — категорически нет.
Без бюджета лазать по движку в поисках уязвимостей- нет.
Клиенту предлагается серьезный аудит безопасности ежемесячный, но большинство не хотят платить. Что делать?
Забивать на установку патчей безопасности cms и ее модулей — категорически нет.
Без бюджета лазать по движку в поисках уязвимостей- нет.
Клиенту предлагается серьезный аудит безопасности ежемесячный, но большинство не хотят платить. Что делать?
Насчёт первой части, в целом — согласен…
насчёт «что делать»… ну не хотелось бы капитанить но… возможно предложить менее «серьёзный аудит» за ту сумму которую готовы платить клиенты… так сказать «сегментировать» услугу по цене
тех кому нужен серьёзный аудит — их всегда мало :+)
не факт конечно, что получится «сегментировать» такого сорту услугу — но Вам там виднее — посмотрите внимательнее… :+)
насчёт «что делать»… ну не хотелось бы капитанить но… возможно предложить менее «серьёзный аудит» за ту сумму которую готовы платить клиенты… так сказать «сегментировать» услугу по цене
тех кому нужен серьёзный аудит — их всегда мало :+)
не факт конечно, что получится «сегментировать» такого сорту услугу — но Вам там виднее — посмотрите внимательнее… :+)
UFO just landed and posted this here
1. Согласен, но как я и говорил — позыв был именно в том как ай-ай-ай ставить «прикрутку» даже не развернув коробочку с прикруткой. В качестве FCK мог быть любой другой дырявый компонент
2. Редактор как продукт — существует и доступен для скачивания. ckeditor.com/download. Правильней сказать что он устарел и не поддерживается.
3. Багтрекера как такового нет. Я написал в веб студию — разработчикам данного продукта.
2. Редактор как продукт — существует и доступен для скачивания. ckeditor.com/download. Правильней сказать что он устарел и не поддерживается.
3. Багтрекера как такового нет. Я написал в веб студию — разработчикам данного продукта.
Круто, автор нашел в тырнетах дырку 2008 года:
http://www.securityfocus.com/bid/31812
http://www.securityfocus.com/bid/31812
Хотелось бы указать ещё на две вредные практики, подмеченные на основании вашего топика:
1. Установка устаревшего программного обеспечения, т.к. fckeditor остался в прошлом и сейчас именует ckeditor.
2. Не читать ПОЛНОСТЬЮ документацию перед использование — чревато.
1. Установка устаревшего программного обеспечения, т.к. fckeditor остался в прошлом и сейчас именует ckeditor.
2. Не читать ПОЛНОСТЬЮ документацию перед использование — чревато.
UFO just landed and posted this here
Спасибо, что ткунли носом, вот ведь, никак не ожидаешь подвоха там, где он вполне себе есть.
Решили траблу установкой запрета на выполнение в /upload/, снесли ненужные части FCK в проекте.
Решили траблу установкой запрета на выполнение в /upload/, снесли ненужные части FCK в проекте.
Наверное не буду оригинальным, но скажу что установка левых пусть даже и очень праведных скриптов для управления сервером в открытый доступ без привязки по ип и прочих, это плохой подход к безопасности.
Думаю кроме того, что вы нашли, в скриптах еще хватает сюрпризов. Более чем уверен, что авторы скрипта мало заботились о безопасности (ведь вы сами пишите для узкого внутреннего пользования) и априори подразумевали, что скрипт будет закрыт от сторонних глаз.
К слову, слабо представляю, зачем нужна загрузка файлов на хост через вэб в данном случае. Ее вообще отключить в конфигах пхп намертво. Файлы заливать по фтп или другим протоколам.
Ну и понятно, повесить на нестандартный порт, который жестко в iptables ограничен для админов или открывает по кноку, если нужно иногда получать доступ с других адресов.
А так если перервать все скрипты на наличие дыр, это ж двинутся можно.
Думаю кроме того, что вы нашли, в скриптах еще хватает сюрпризов. Более чем уверен, что авторы скрипта мало заботились о безопасности (ведь вы сами пишите для узкого внутреннего пользования) и априори подразумевали, что скрипт будет закрыт от сторонних глаз.
К слову, слабо представляю, зачем нужна загрузка файлов на хост через вэб в данном случае. Ее вообще отключить в конфигах пхп намертво. Файлы заливать по фтп или другим протоколам.
Ну и понятно, повесить на нестандартный порт, который жестко в iptables ограничен для админов или открывает по кноку, если нужно иногда получать доступ с других адресов.
А так если перервать все скрипты на наличие дыр, это ж двинутся можно.
Файлы заливать по фтп или другим протоколам.
А как быть, если вы создаёте сервис, в котором пользователям необходимо предоставить полноценный WYSIWYG-редактор контента? (Проект создаётся на фреймворке, безо всяких CMS).
А так, да, конечно, использование скриптов для управления сервером вообще лучше не давать пользователям.
Ну ведь в статье идет речь про узкодоступные скрипты, потому я так и написал.
А что до пользователей, я всегда старался избежать прямой загрузки файлов на хост, в большинстве случаев ее реально можно безболезненно запретить или вынести загрузку на другой сервер, не имеющей связи с основным…
Проще потратить время на реализацию альтернативной загрузки, чем заниматься аудитом сторонних скриптов и модулей. Тут никогда не знаешь с какой стороны ждать удара.
А что до пользователей, я всегда старался избежать прямой загрузки файлов на хост, в большинстве случаев ее реально можно безболезненно запретить или вынести загрузку на другой сервер, не имеющей связи с основным…
Проще потратить время на реализацию альтернативной загрузки, чем заниматься аудитом сторонних скриптов и модулей. Тут никогда не знаешь с какой стороны ждать удара.
Всегда устанавливая сторонние компоненты вырезаю из них всё, что не требуется: тесты, доку, примеры. Во-первых, примеры, как правило, пишутся совсем не с расчётом на безопасность и использование на боевых серверах. А во-вторых, это просто раздувает размеры дистрибутива, за счёт всякого мусора.
Что-то я не понимаю позыва автора. Дыра очень стара, дыру авторы прикрыли, об этой дыре не знает только ленивый, что хотел сказать автор? Автор бы еще вспомнил о двойном расширении у файлов при аплоаде.
Как можно вообще винить продукт в чем либо, если пользователь его не обновляет?
Никто не идеален, ВСЕ допускают ошибки, главная разница коробочного решения от велосипеда — первые стараются следить за этим и исправляться, а решения велосипедистов так и остаются уязвимыми. Причем заметьте, зачастую у коробочных решений есть для этого необходимая квалификация и средства, что очень редко можно сказать о разработчиках «самопалов». Буквально вчера вечером бегло просматривал gamazavr.ru, авторы проекта видимо даже не подозревают о существовании XSS,CRSF и многом другом.
Как можно вообще винить продукт в чем либо, если пользователь его не обновляет?
Никто не идеален, ВСЕ допускают ошибки, главная разница коробочного решения от велосипеда — первые стараются следить за этим и исправляться, а решения велосипедистов так и остаются уязвимыми. Причем заметьте, зачастую у коробочных решений есть для этого необходимая квалификация и средства, что очень редко можно сказать о разработчиках «самопалов». Буквально вчера вечером бегло просматривал gamazavr.ru, авторы проекта видимо даже не подозревают о существовании XSS,CRSF и многом другом.
Да и вообще, как по мне вместо «мифичной погони за прошлым» автору было бы куда полезней почитать о теории безопасности и о возможных векторах атак на его решения. Ибо последствия халатного отношения к www.kapital.by могут и сыграют злую шутку
Примерно в 2007 году, я занимался скриптологией. Поизучал smallnuke.com, который комплектуется редактором SPAW. Uploader не был закрыт. И таким образом, я подменил картинку на сайте smallnuke.com, тем самым показав разработчику на невнимательность.
Sign up to leave a comment.
Сказ о том как вредно может быть ставить компоненты из коробки