Инфо Аудит информационной безопасности DLE - Обсуждение

Тема в разделе "DLE", создана пользователем masima, 13 янв 2013.

?

Будем проводить аудит?

  1. Да, однозначно.

    70,4%
  2. Нет, мне это ни к чему.

    25,9%
  3. Ваш вариант - отписывайте в топике

    3,7%
Информация :
Актуальная версия DataLife Engine 12.0
( Final Release v.12.0 | Скачать DataLife Engine | Скачать 12.0 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.3 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Модераторы: killoff
  1. masima

    masima

    Регистр.:
    9 мар 2007
    Сообщения:
    733
    Симпатии:
    1.338
    Добрый день, уважаемые участники сообщества Nulled.

    Сегодня я бы хотел поговорить и пообщаться с вами на тему безопасности ВАШИХ данных и проектов, реализованных с помощью CMS DLE.

    Я уверен в том, что сейчас я вам расскажу!

    Каждый из нас/вас и т.д. сталкивался с проблемой взлома сайта на движке DLE. Порой в наших проектах появляется совершенно неоткуда не понятные JS инклуды, ссылки в новостях, проекты клоны (с таким же дизайном и контентом), всякие вирусы, попапы, рекламы и т.д. Это проблема волнует всех и не может не остаться не решенной. И если мы с вами будем сидеть на попе и дальше она не будет решена и дальше! Давайте обезопасим все свои данные сами! (и не говорите только что вас эта тема не затронула, начиная с версии 9.5 я имел порядка 300 шелов, а сейчас имею доступ к более чем 600 админкам, шелы тоже остаются быть живыми, про наличие бэкдоров я молчу, их тоже хватает)

    Предлогаю:
    1. Найти грамотного исполнителя с опытом проведения аудита PHP кода для проведения исследований в части безопасности данных для участников сбора.
    2. Собрать необходимые средства запрошенные исполнителем для реализации проекта.
    3. Провести исследование и пофиксить все найденные уязвимости!

    На выходе каждый из участников сбора получит баг фикс и гарантию безопасности своих данных.

    Текущий релиз DLE 9.7 - я полагаю при долгом обсуждении и сборе средств (этого я не исключаю т.к. каждый из нас уже привык к халяве) всё может затянуться до версии 10.0! Так что новая ветка с новыми фиксами!

    Все вопросы задавайте в этой ветке. Сбор средств будет организован посредствам топика в ветке "Скидываемся".

    Готов с каждым индивидуально пообщаться по поводу безопасности в DLE.
    Мои контакты:
    ICQ 498.878.498

    p.s. своё фе высказывайте в другом месте и не хамите - помните, что безопасность ваших данных зависит только от вас!

    p.p.s. не исключен исполнитель из члена участников сообщества nulled.сс
     
    E-body, wwwserfer и Горбушка нравится это.
  2. E-body

    E-body

    Регистр.:
    6 сен 2007
    Сообщения:
    986
    Симпатии:
    331
    Очень интересное решение предложил, спасибо, вполне согласен участвовать в акции "безопасный DLE".
    п.с. казалось бы что новая версия несет исправления прошлых недочетов, а нет, новые версии это бомба замедленного действия, часто поверхостно проскакивает инфа что найдена очередная уязвимость успешно пользуютя которой стороние люди.
     
  3. masima

    masima

    Регистр.:
    9 мар 2007
    Сообщения:
    733
    Симпатии:
    1.338
    Маленькая стата паблик фиксов от автора CMS (большая часть фиксов идёт без официального паблика посредством обновления дистрибутива:(

    версия 9.7

    1. 19 ноября 2012 - Патч безопасности для версий 9.7 и ниже - Проблема: Проведение SQL инъекций, в случае игнорирования администратором сайта уведомления в админпанели скрипта, о недопустимости включения на сервере небезопасной настройки register_globals, а также возможность обхода кода безопасности CAPTCHA при регистрации.

    2. 06 января 2013 - Недостаточная фильтрация данных в парсере шаблонов

    версия 9.6

    1. 20 августа 2012 - Недостаточная криптографическая устойчивость

    это всё успешно пофикшано, но! лезем в ветку на ачате(это я только про ачат, а сколько еще таких форумов есть?)) и что мы видим ( - куча скл, хсс, как залить шел, патч дисклоуз, как поменять права на исполнение файлов в директории.... и это всё остаётся не фикшено до сих пор! задумайтесь!!!
     
  4. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.209
    Симпатии:
    2.236
    Мне вот стало интересно, а сколько такой аудит может стоить? Я бы свои скрипты тоже прогнал бы...
     
  5. masima

    masima

    Регистр.:
    9 мар 2007
    Сообщения:
    733
    Симпатии:
    1.338
    заказывали на InstantCMS
    за аудит отдавали 50к рос рублей

    я думаю стоит ориентироваться на эту стоимость.
    аудит проходит в течении месяца-полтора
    на выходе полный отчет и баг фикс
     
  6. masima

    masima

    Регистр.:
    9 мар 2007
    Сообщения:
    733
    Симпатии:
    1.338
    ребята, где ваш интерес? ваши ресурсы не ломают?
     
  7. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.209
    Симпатии:
    2.236
    Я DLE уже года 3 не использую, но по возможности поучавствую...

    Надо бы человек 100 насобирать, а то сумма реально приличная.
     
  8. palec

    palec

    Регистр.:
    6 дек 2006
    Сообщения:
    272
    Симпатии:
    34
    Я согласен участвовать!!! Также добавлю последний фикс без которого были взломаны куча DLE сайтов

    версия 9.7

    19 января 2013 - Обновленный патч безопасности устраняющий все обнаруженные ранее для версии 9.7 проблемы безопасности. В дополнение от выпущенных ранее патчей для версии 9.7, в данном патче используется более улучшенный алгоритм в фильтрации шаблонов, позволяющий устранить некоторые несовместимости со сторонними модулями и ряд некоторых других проблем, связанных исключительно с версией 9.7. А также был изменен алгоритм загрузки аватаров, который больше не позволяет использование анимированных картинок .gif. Все загружаемые анимированные картинки будут выводится в виде статических картинок. Данная мера является вынужденной и необходимой, в связи с рядом ограничений формата gif, который не позволяет в достаточной мере отфильтровать вредный код в картинках, единственным эффективным способом является только снятие поддержки анимации в данных картинках.
     
    masima и E-body нравится это.
  9. masima

    masima

    Регистр.:
    9 мар 2007
    Сообщения:
    733
    Симпатии:
    1.338
    этот фикс не позволяет полностью защититься.

    p.s. на сегодняшний день получен доступ к 1200 админкам сайтов на дле не используя баги, на которые уже выпущены фиксы!
     
  10. fumofuuu

    fumofuuu

    Регистр.:
    24 сен 2011
    Сообщения:
    280
    Симпатии:
    125
    Давайте уже найдём человека, который будет делать аудит и узнаем точную сумму. И начнём скидываться. Думаю даже на 50 чел будет норм, если сумма будет 50.000.
    Как раз закажем на новую dle 9.8.