1.1, Bregor (??), 22:43, 19/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Поставили мы тут как-то этот друпал, ага...
Три взлома за два дня.
Было клева ;)
| |
|
2.3, demimurych (?), 02:32, 20/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
не несите околесицу.
В ядре друпала и модулях идущих в поставке уже как год, ничего кроме сложно реализуемых xss не находят.
| |
|
3.4, Pilat (ok), 02:56, 20/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>не несите околесицу.
>В ядре друпала и модулях идущих в поставке уже как год, ничего
>кроме сложно реализуемых xss не находят.
Уверены ? Ниже пример. Да и Друпал силён сторонними модулями не в последнюю очередь.
* Advisory ID: DRUPAL-SA-CORE-2009-004
* Project: Drupal core
* Versions: 5.x
* Date: 2009-February-25
* Security risk: Highly Critical
* Exploitable from: Remote
* Vulnerability: Local file inclusion on Windows
* Reference: SA-CORE-2009-003 [1] (6.x)
... This enables malicious
users to include files, readable by the webserver and located on the same
volume as Drupal, and to execute PHP contained within those files. For
example: If a site has uploads enabled, an attacker may upload a file
containing PHP code and cause it to be included on a subsequent request by
manipulating the URL used to access the site.
| |
|
|
1.8, dq0s4y71 (?), 11:48, 20/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>[оверквотинг удален]
> * Exploitable from: Remote
> * Vulnerability: Local file inclusion on Windows
> * Reference: SA-CORE-2009-003 [1] (6.x)
>
> ... This enables malicious
> users to include files, readable by the webserver and located on the same
> volume as Drupal, and to execute PHP contained within those files. For
> example: If a site has uploads enabled, an attacker may upload a file
> containing PHP code and cause it to be included on a subsequent request by
> manipulating the URL used to access the site.
Такие дыры находят в Друпале чуть ли не каждый месяц (http://drupal.org/security) и латают их. По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.
> Поставили мы тут как-то этот друпал, ага...
> Три взлома за два дня.
> Было клева ;)
Именно Друпал поломали? На сервер ведь можно проникнуть не только через дыры в CMS... Один из известных способов взлома Друпала - это через Тотал Коммандер. Вирь на виндовой машине ворует из него FTP-аккаунты, лезет на сервер, и правит код Друпала! А вообще, Друпал довольно надежная система (хоть и медленная). У меня сайт на нем 2 года крутится, (тьфу-тьфу) еще ни разу не поломали, хотя в логах странные запросы периодически наблюдаю.
| |
|
2.12, . (?), 12:46, 20/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.
например, в ПО управления кардиостимулятором
| |
|
3.14, XoRe (ok), 14:51, 20/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.
>
>например, в ПО управления кардиостимулятором
Или в ПО управления спутником.
Или в ПО управления боингом.
Или в ПО управления болидом формула-1.
НО... в настолько критичных к ошибкам областях используется совсем другое ПО, чем у себя на сервере для форума или портала.
То есть, не подменяйте одну ситуацию другой.
| |
|
4.15, аноним (?), 17:07, 20/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Или в ПО управления болидом формула-1
был недавно инцидент :)
кто смотрит, тот в курсе
>используется совсем другое ПО, чем у себя на сервере для форума или портала
"у себя" бывает по разному. если портал приносит ощутимый доход, то имеет смысл позаботится о его надежности, а значит ... не использовать Друпэл
| |
|
5.16, dq0s4y71 (?), 17:20, 20/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
> "у себя" бывает по разному. если портал приносит ощутимый доход, то имеет смысл позаботится о его надежности, а значит ... не использовать Друпэл
А что использовать?
| |
5.26, SKeeper (?), 10:40, 21/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Или в ПО управления болидом формула-1
>
>был недавно инцидент :)
>кто смотрит, тот в курсе
>
>>используется совсем другое ПО, чем у себя на сервере для форума или портала
>
>"у себя" бывает по разному. если портал приносит ощутимый доход, то имеет
>смысл позаботится о его надежности, а значит ... не использовать Друпэл
>
Если портал действительно важен и приносит хороший доход, то необходимо тратиться временем или деньгами на перелопачивание кода и проверку безопасности, а не доверять какой бы то ни было cms
| |
|
6.27, Аноним (-), 13:28, 21/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>перелопачивание кода и проверку безопасности
Это СЛИШКОМ дорого
| |
|
7.28, SKeeper (?), 17:21, 23/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>перелопачивание кода и проверку безопасности
>Это СЛИШКОМ дорого
Ставить цмс в которой просто реже _находят_ дыры - это лишь защита от кулхацкеров (так же как и постоянные обновления), которые юзают готовый эксплоит, но не от целенаправленного и профессионального взлома.
| |
|
|
|
|
|
|
1.10, Конторра (?), 12:11, 20/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
знаете систему лучше? я имею ввиду open source PHP CMS. назовите парочку. только не говорите - Joomla! и Wordpress :)
| |
|
|
3.13, андрей (??), 13:09, 20/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>> только не говорите - Joomla! и Wordpress :)
> Почему? :)
+1 действительно, почему?
| |
|
|
3.24, dq0s4y71 (?), 21:49, 20/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Wordpress - cms?Oo
Ну, авторы называют его publishing platform, но я не вижу чем он не ЦМС. Под блоги заточенный только.
| |
|
|
|