Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

Автор Тема: Уязвимости сайтовых движков  (Прочитано 11740 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн garry

  • *
  • Сообщений: 1216
  • Пол: Мужской
  • SEO
    • Skype - garry_yworld

Уязвимости сайтовых движков
« Ответ #15 : 20 Марта 2015, 20:30 »
All In One SEO Pack, бог с ним с не значительной дыркой. самое главное что он творил после обновления от февраля месяца.
Вот было масса забавного у народа по индексу.
Самое забавное что разарб принял к сведению море обращений на эту тему, но в итоге следующий апдейт решил только половину косяка.
руками конечно не проблема исправить странные вставки в хлебные крошки, выключить дублирующие мето теги социалок, но это кто знает.
В итоге многие откатились на старые плагины или старые версии этого.

Собственно у WP часто косяки с плагинами, не важно какими, дыр море, устраняется все очень медленно. Собственно как и в любом раскрученном движке, надо все сначала ручками проверить, потом ставить.
Не исключение SMF

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости сайтовых движков
« Ответ #16 : 20 Марта 2015, 20:34 »
Не исключение SMF
ты считаешь smf  ненадежным движком в плане безопасности ? В свое время  я читала что этот движок наиболее безопасный . Плохие отзывы были о бебешке . :?


Оффлайн garry

  • *
  • Сообщений: 1216
  • Пол: Мужской
  • SEO
    • Skype - garry_yworld

Уязвимости сайтовых движков
« Ответ #17 : 20 Марта 2015, 20:40 »
ты считаешь smf  ненадежным движком в плане безопасности ?
Нет, нет, он безопасен более других форумных движков. Но если безоглядно ставить всякие странные моды, можно легко нарваться. Особенно которые вносят кучу изменений, типо магазин, к нему было кривое дополнение загрузки файлоф, карма мод который давал возможность скриптик вставить в описание кармы, карты от гугла и еще ряд.
Но по большей части на форумах интересует не взлом как таковой, а удобность для спама, тут как в любом форуме можно устроить при желании апокалипсис)))


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости сайтовых движков
« Ответ #18 : 20 Марта 2015, 20:47 »
Но по большей части на форумах интересует не взлом как таковой, а удобность для спама, тут как в любом форуме можно устроить при желании апокалипсис
кстати в этом плане ... За все время существования форума  недавно только увидела спамера  и то как то странно  .На админскую почту  пришла ссылка .Почта на гугле  и письмо сразу ушло в  спам .А на форуме ка кто их бог миловал . А вот флеш я не включаю .Если ставлю флеш через html, то или делаю сама или предварительно  проверяю на фреймы . Мало ли чего запихнут .Недавно наткнулась на фрем  в котором ссыль укоз присутствует .Пришлось выдергивать эту операцию из флеша .

Поблагодарили: Dovf

Оффлайн garry

  • *
  • Сообщений: 1216
  • Пол: Мужской
  • SEO
    • Skype - garry_yworld

Уязвимости сайтовых движков
« Ответ #19 : 20 Марта 2015, 20:50 »
А вот флеш я не включаю .Если ставлю флеш через html, то или делаю сама или предварительно  проверяю на фреймы . Мало ли чего запихнут .
Так и надо, иначе в один прекрасный момент будет не весело.
Сейчас фильтрация в скрипте вроде очень не плохая по заверениям и моих прогеров и вообще, так что все должно быть ок.



За все время существования форума  недавно только увидела спамера  и то как то странно

Это не твоя заслуга, а их недоработка :))

а если серьезно, чуть в топах начнет светится по ходовым запросам и все как всегда...


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости сайтовых движков
« Ответ #20 : 20 Марта 2015, 20:54 »
чуть в топах начнет светится по ходовым запросам и все как всегда...
мы отстреливаться будем  gun Я еще  и ГТО им введу на форуме  :)) А если серьезно глянул бы ты наши поисковые позиции как большой спец .Может что подскажешь .Только на пальцах для тупых  %(


Оффлайн garry

  • *
  • Сообщений: 1216
  • Пол: Мужской
  • SEO
    • Skype - garry_yworld

Уязвимости сайтовых движков
« Ответ #21 : 20 Марта 2015, 20:58 »
А если серьезно глянул бы ты наши поисковые позиции как большой спец .Может что подскажешь .Только на пальцах для тупых 
Посмотрю, надергаю из названий категорий и форумов. Но чуть по позже, скорее завтра, сегодня уже сил нет работать)))
Куда скинуть?

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости сайтовых движков
« Ответ #22 : 20 Марта 2015, 21:02 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
да не горит . Можешь в личку  или здесь или на  саппорте или на мыло . Отдыхай .И так неудобно что напрягла . ;*

Оффлайн garry

  • *
  • Сообщений: 1216
  • Пол: Мужской
  • SEO
    • Skype - garry_yworld

Уязвимости сайтовых движков
« Ответ #23 : 20 Марта 2015, 21:04 »
Отдыхай .И так неудобно что напрягла .
да без проблем сделаю, я же не руками буду перелопачивать, давно все автоматизировано)))
А отдыхать, это да, только начинаю)))

Поблагодарили: ALENA

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Критическая уязвимость в WordPress 4.2
« Ответ #24 : 29 Апреля 2015, 22:22 »
Информация о новой бреши попала в открытый доступ до выхода официального исправления.
Исследователь безопасности Юко Пиннонен (Jouko Pynnönen) опубликовал в YouTube ролик, в котором продемонстрировал успешную экcплуатацию уязвимости межсайтового скриптинга в WordPress версии 4.2.
При этом подробная информация о внедрении кода JavaScript появилась в блоге эксперта почти за двое сутки до выхода официального исправления. Уязвимость была устранена в оперативном обновлении WordPress 4.2.1.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Исследователь отмечает, что атака становится возможной из-за ограничения на максимальное количество символов в поле TEXT (64 КБ). Превышающие это значение комментарии обрезаются, а в базу данных попадает лишь часть текста, что позволяет обойти чистку HTML-тегов. В конечном счете атакующий может получить доступ к определенным административным функциям и выполнить произвольный PHP-код на стороне сервера.

Интересно, что, по данным Пиннонена, выявленная им брешь очень похожа на уязвимость в механизме публикации комментариев, которую разработчики WordPress устранили несколькими днями ранее.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Довольно интересное мнение  :?
Цитата
Некоторые ресурсы использует robot.txt для того, чтобы скрыть конфиденциальные данные.
Независимый специалист Тиболт Векстин (Thiebauld Weksteen) обнаружил, что файл robots.txt может использоваться злоумышленниками для получения доступа к конфиденциальной информации.
Файл robots.txt содержит инструкции, которые определяют, к каким директориям web-сервера способна получать доступ поисковая система. Векстин считает, что, использовав robots.txt, злоумышленники могут узнать, в каких папках системный администратор хранит важную информацию.
По мнению специалиста, robot.txt имеет два существенных недостатка. Первый заключается в том, что robot.txt является инструментом контроля доступа к содержанию сервера, а второй - что к этому содержимому может обращаться только поисковая система, но не пользователь.
Администрация некоторых ресурсов использует robot.txt с целью сокрытия не предназначенной для публичного доступа информации. «Во время тестирования web-приложения на наличие уязвимостей исследователь обычно использует список отображаемых подкаталогов для того, чтобы взломать защиту сервера и найти скрытые каталоги. Таким образом, robot.txt дает злоумышленнику сведения о том, на что стоит обратить внимание в первую очередь», - сообщил Векстин в своем блоге.
Поблагодарили: Dovf

Оффлайн Jagron

  • *
  • Сообщений: 7498
  • Пол: Мужской

Уязвимости сайтовых движков
« Ответ #26 : 19 Мая 2015, 20:33 »
Векстин считает, что, использовав robots.txt, злоумышленники могут узнать, в каких папках системный администратор хранит важную информацию.
Но ведь сначала злоумышленнику нужно как-то получить доступ к этом файлу, не так ли?  :)


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости сайтовых движков
« Ответ #27 : 19 Мая 2015, 20:41 »
Но ведь сначала злоумышленнику нужно как-то получить доступ к этом файлу, не так ли? 
кто заинтересован в индексации поисковиками у тех у всех есть robot.txt .Этот файл кидается в корень сайта .По идее если взломать сайт, то вполне можно получить доступ .

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости сайтовых движков
« Ответ #28 : 12 Января 2016, 09:27 »
Всем владельцам сайтов на Wordpress стоит срочно обновиться до версии 4.4.1
Разработчики WordPress призывают пользователей загрузить и применить новейшее обновление 4.4.1, устраняющее баг межсайтового скриптинга в системе управления контентом.
Данная брешь присутствует во всех версиях CMS ниже 4.4, ее эксплойт позволяет установить контроль над веб-сайтом.

Уязвимость обнаружил независимый исследователь с Филиппин, использующий псевдоним Crtc4L; его результат был удостоен награды, которая была выплачена через HackerOne.

Как пишет в блоге WordPress Аарон Джорбин (Aaron Jorbin), данный баг открывает возможность для удаленной компрометации. Степень его опасности при этом не указана, подробности пока тоже не оглашены; молчит и сам обнаруживший уязвимость исследователь.

Версия 4.4.1 WordPress в целом закрывает 52 бреши. Джорбин не преминул отметить, что некоторые сайты, использующие устаревшие версии OpenSSL, не смогли воспользоваться другими сервисами, доступными через плагины.

Обновление можно загрузить напрямую с сайта WordPress. При отсутствии на сайте поддержки автоматического обновления можно также произвести апдейт, используя соответствующую функцию в консоли.
Поблагодарили: topinant

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости сайтовых движков
« Ответ #29 : 03 Февраля 2016, 20:29 »
Злоумышленники атакуют сайты на базе WordPress с помощью нового вредоносного ПО
Вирус вставляет вредоносный код во все JavaScript-сценарии на ресурсе.
ИБ-специалист Sucuri Денис Синегубко обнаружил вредоносную кампанию, нацеленную на сайты на основе WordPress. Как сообщается в блоге компании, злоумышленники с помощью специального кода вставляют на ресурсы бэкдоры и повторно инфицируют даже очищенные от вредоносного ПО страницы.
Хакеры внедряют зашифрованный вредоносный код во все JavaScript-сценарии на целевых сайтах под управлением WordPress. По словам Синегубко, вредоносное ПО устанавливает множественные бэкдоры в различные файлы на web-сервере и регулярно обновляет встроенный код. В результате сайт оказывается постоянно инфицирован вредоносом, а попытки удаления вируса оказываются тщетными.
Опасности подвержены все JavaScript-сценарии на всех доменах в пределах одной и той же учетной записи хостинга. Для устранения угрозы понадобиться изолировать все сайты на учетной записи и удалить вредоносное ПО.
Вирус использует несколько вариаций зашифрованного кода с одинаковой структурой. На зараженных ПК устанавливается рекламный файл cookie, вставляющий на посещаемые сайты модифицированные невидимые фреймы <iframe>.
По словам Синегубко, злоумышленники активно используют технологию «затенения доменов». Преступники могут добавить вредоносные поддомены к легитимным доменам второго уровня. Подобные поддомены используются для распространения вредоносного ПО – например, набора эксплоитов Angler.
Поблагодарили: topinant