Коментарі для запису: Уразливості на www.usdp.kiev.ua http://websecurity.com.ua/3565/ Sat, 18 Apr 2026 16:35:55 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/3565/#comment-305312 Sun, 01 Nov 2009 21:59:17 +0000 http://websecurity.com.ua/3565/#comment-305312 <blockquote>Капча ивел тут, только пройдет время пока писал…и все весь текст улетел, так как капча уже не верная ((</blockquote> По поводу капчи. GUNTER, я тебе уже <a href="/3534/#comment-304351" rel="nofollow">давал рекомендации</a> относительно капчи. Поэтому поводу у меня к тебе вопрос. У тебя случайно не та же проблема, что <a href="/2437/#comments" rel="nofollow">была у trovich</a>. Когда он открывал несколько страниц сайта, где расположена капча, и в итоге сохранялось лишь значение последней капчи. Т.к. данную капчу я использую с начала 2007 года и она себя хорошо зарекомендовала. И её алгоритм проверен временем. Сама капча использует сессии (что приводит к тем ограничениям о которых мы говорили с trovich-чем, но зато это самый безопасный метод работы), где сохраняется её значение, поэтому она зависит от настройки времени жизни сессии. А время это на сервере установлено достаточно продолжительное. Ранее практически никто не жаловался на короткую жизнь капч, в основном на проблемы с запоминанием лишь последнего значения (о чём я упоминал выше). В том числе те люди которые жаловались, что "капча быстро закончилась", на самом деле сталкивались именно с перезаписью значения капчи при открытии новой страницы. Может у тебя та жа проблема? Открой лишь одну страницу сайта с капчей и напиши коммент (скопипейстив его в буфер на всякий случай) и запость его.

Капча ивел тут, только пройдет время пока писал…и все весь текст улетел, так как капча уже не верная ((

По поводу капчи. GUNTER, я тебе уже давал рекомендации относительно капчи.

Поэтому поводу у меня к тебе вопрос. У тебя случайно не та же проблема, что была у trovich. Когда он открывал несколько страниц сайта, где расположена капча, и в итоге сохранялось лишь значение последней капчи.

Т.к. данную капчу я использую с начала 2007 года и она себя хорошо зарекомендовала. И её алгоритм проверен временем. Сама капча использует сессии (что приводит к тем ограничениям о которых мы говорили с trovich-чем, но зато это самый безопасный метод работы), где сохраняется её значение, поэтому она зависит от настройки времени жизни сессии. А время это на сервере установлено достаточно продолжительное.

Ранее практически никто не жаловался на короткую жизнь капч, в основном на проблемы с запоминанием лишь последнего значения (о чём я упоминал выше). В том числе те люди которые жаловались, что “капча быстро закончилась”, на самом деле сталкивались именно с перезаписью значения капчи при открытии новой страницы. Может у тебя та жа проблема? Открой лишь одну страницу сайта с капчей и напиши коммент (скопипейстив его в буфер на всякий случай) и запость его.

]]> від: MustLive http://websecurity.com.ua/3565/#comment-305311 Sun, 01 Nov 2009 21:45:08 +0000 http://websecurity.com.ua/3565/#comment-305311 <blockquote>Надеюсь уже закрыли, так как заказывали проверку )))</blockquote> <strong>GUNTER</strong>, нет ещё не закрыли - пока не закрыли ни одной дыры, что я нашёл у них на сайте (при беглом просмотре, т.к. дыр на сайте явно гораздо больше). Кстати, этот сайт - это один из тех сайтов, где я обнаружил слабые логины и пароли, о чём мы <a href="/3580/#comment-305118" rel="nofollow">говорили ранее</a>. И замечу, что когда я 06.10.2009 сделал данный пост, то я проверил их сайт и выяснил, что хотя дыр они тогда не исправили, но пароль сменили :-). Я рад, что мой хак ихнего сайта на них повлиял позитивно и они сменили пароль. И даже заказали аудит сайта. И я рад, что это также тебе подкинуло работы (и заработка). Но админам usdp.kiev.ua нужно ещё и дыры исправить на сайте. <blockquote>Оказалось намного больше дыр, чем я думал</blockquote> Да, дыр там хватает. На ряде сайтов на этом движке я нашёл немало дыр, и не о всех дырах в CMS SiteLogic я писал в новостях. И я похакал ряд сайтов на этом движке, в том числе и сайт девелоперов, чтобы привлечь их внимание к вопросам безопасности своих сайтов. Но все они забивают на это. Но всё же, судя по твоим словам, хотя бы УСДП начала задумываться о безопасности своего сайта.

Надеюсь уже закрыли, так как заказывали проверку )))

GUNTER, нет ещё не закрыли - пока не закрыли ни одной дыры, что я нашёл у них на сайте (при беглом просмотре, т.к. дыр на сайте явно гораздо больше).

Кстати, этот сайт - это один из тех сайтов, где я обнаружил слабые логины и пароли, о чём мы говорили ранее. И замечу, что когда я 06.10.2009 сделал данный пост, то я проверил их сайт и выяснил, что хотя дыр они тогда не исправили, но пароль сменили :-) .

Я рад, что мой хак ихнего сайта на них повлиял позитивно и они сменили пароль. И даже заказали аудит сайта. И я рад, что это также тебе подкинуло работы (и заработка). Но админам usdp.kiev.ua нужно ещё и дыры исправить на сайте.

Оказалось намного больше дыр, чем я думал

Да, дыр там хватает. На ряде сайтов на этом движке я нашёл немало дыр, и не о всех дырах в CMS SiteLogic я писал в новостях. И я похакал ряд сайтов на этом движке, в том числе и сайт девелоперов, чтобы привлечь их внимание к вопросам безопасности своих сайтов. Но все они забивают на это. Но всё же, судя по твоим словам, хотя бы УСДП начала задумываться о безопасности своего сайта.

]]> від: GUNTER http://websecurity.com.ua/3565/#comment-305134 Thu, 29 Oct 2009 03:39:30 +0000 http://websecurity.com.ua/3565/#comment-305134 Надеюсь уже закрыли, так как заказывали проверку ))) Оказалось намного больше дыр, чем я думал, двиг вообще сплошная дыра и как нес стыдно конторе которая ставит его всем ))) П.С. Капча ивел тут, только пройдет время пока писал...и все весь текст улетел, так как капча уже не верная (( Надеюсь уже закрыли, так как заказывали проверку )))
Оказалось намного больше дыр, чем я думал, двиг вообще сплошная дыра и как нес стыдно конторе которая ставит его всем )))
П.С. Капча ивел тут, только пройдет время пока писал…и все весь текст улетел, так как капча уже не верная ((

]]>