Vivvo 3.4 - вопрос безопасности

Тема в разделе "Vivvo [закрыт]", создана пользователем parempi, 16 дек 2007.

Статус темы:
Закрыта.
  1. parempi

    parempi Спецкор

    Регистр.:
    10 окт 2006
    Сообщения:
    157
    Симпатии:
    226
    Ego задался вопросом о безопасности третьей виввы и я попросил хорошего специалиста в этом деле поковырять мой сайт.

    Уязвимости найдены, но не критические.

    Вот его каменты:

    1)Есть sql inj - в идеале, можно получить доступ к базе данных, но тут вроде бы не получается (например, у меня и у моего знакомого который спец по этим уязвимостям - не получилось)

    2)XSS - уязвимость позволяет украсть куки\сессию например тебе придёт письмо со ссылкой на спецом подстроенную xss, ты перейдёш по ссылке, и твои куки уйдут на сниффер

    Сами уязвимости по понятным причинам не выкладываю. Если кто хочет с ними ознакомиться и пофиксить - кину в личку.

    Еще для повышения безопасности надо обязательно закрыть папку admin через .htpasswd
     
    ego нравится это.
  2. ego

    ego Создатель

    Регистр.:
    6 янв 2007
    Сообщения:
    43
    Симпатии:
    29
    А как в обстоят дела с 3.5? Какую из версий стоит брать?
    Чисто интуитивно мне кажется, что 3.5 немного помедленней, но там вроде как должна быть повыше безопасность?
     
  3. InoffLine

    InoffLine

    Регистр.:
    18 апр 2007
    Сообщения:
    573
    Симпатии:
    155
    в 3.5 есть дыра, через которую реально закачать шел.
    В админке.
    Админку закрывай апачевской авторизацией.
     
Статус темы:
Закрыта.