Уразливості на saitodel.com
19:20 06.10.200711.05.2007
У січні, 04.01.2007, я знайшов декілька Cross-Site Scripting уразливостей на проекті http://saitodel.com. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
06.10.2007
XSS:
POST запит на сторінці http://saitodel.com/contact/:
"><script>alert(document.cookie)</script>В полях: Ваше имя, Ваш е-mail, Ваш тел., Ваш веб-сайт.
</textarea><script>alert(document.cookie)</script>В полі: Ваше сообщение.
Дані уразливості (що наявні в плагіні WP-ContactForm) досі не виправлені.
Субота, 16:46 12.05.2007
Мда ты заставив мене задуматись. Вордпресс по ходу дирявий - а я йому так довіряв.
А є якась безпечна альтернатива плагіну контакт форм ?
Взагалі толково ти розчесав де є глюки - ти займаєшся безпекою проффесійно ?
Субота, 20:44 12.05.2007
Slava, навіщо було використовувати систему управління для такого простого проекту? Вистачило би 4ох строрінок з простенькою формою з фільтрацією чи/або екрануванням символів. Хто не розуміється, той не зацінить, що у вас є авторизація, система управління, форма, яка приховує е-адресу і таке інше. А хто “цікавиться”, може дати привід задуматися ще більше
Субота, 21:09 12.05.2007
ну простенький він тому що ним ніхто не займається - в проекті це мало все мало бути серйозним проектом.
да і по правді кажучи навіть для сайту з 2 сторінок я би використовував систему управління так як це срощує розширення і модифікації в рази
Субота, 21:09 12.05.2007
Сашко, ти вірно підмітив, що Слава використав CMS без великої необхідності. При бажанні можна було б для цього проекту обійтися і без CMS - лише декількома html сторінками та скриптом-формою відправки. Але у Славіка явно є звичка використовувати Wordpress.
До речі, про інші проекти Слави (на WP), я ще згадаю в новинах
(як мінімум про ще один).
Субота, 21:14 12.05.2007
МастЛайв - ти мене насторожив
ти зараз про який проект згадав?
да ВП це мія коронна пратформа - не можу натішитись що на неї натрапив і тепер вже явно не зійду з неї - особливо після користування ВанКлікІнсталейшен на Дрімхості.
Субота, 21:16 12.05.2007
Ну ви проектом займіться, Слава, раз вже CMS поставили.
Розширюватися вам є куди, в тому числі й збільшувати об’єм послуг, що надаються. А покращення безпеки власного сайта, буде першим кроком в цьому напрямку.
Субота, 21:22 12.05.2007
Я теж люблю WP. Ось тому й вболіваю за його безпеку. І посилено вишукую в ньому дірки (про що регулярно згадую в новинах), щоб підняти його безпеку.
Почекай трошки, скоро дізнаєшся з новин (і адмін того сайта отримає листа від мене).
P.S.
Лайв - живий, а Лів - жити (це різні частини мови).
Мій псевдонім читається як Мастлів - повинен жити. Цей сенс я і вкладав у свій псевдонім, коли його придумав (в 1998 році).
Субота, 21:28 12.05.2007
Да ти правий в більшості - але нажаль невистачае в мене сил на проекти по сервісам - це занадто багато часу бере + привязує до географії\фінансів\людей.
сервіс по розробці сайтів - класна штука але я її розвиваю в закритому варіанті - тобто розробка сайті виключно для себе. тому що розроблені собі сайти вже будуть працювати і вони не привязують так як клієнти\офіси\бухгалтери
тобто повністю електронна комерція - а розробка сайтів в наших реаліях це більше офлайновий консалтінг ніж онлайнове виробництво.
але в ракурсі безпеки - це дійсно напрямок який варто проробляти (і яким я взагалі не займався поки що)
тому я і запитував чи займаєшся ти цим проффесійно
доречі краще на ТИ - я не настільки старий
Субота, 23:25 12.05.2007
Сам переважно в цьому режимі працюю, за 8 років веб девелопінгу. Чимало проектів розробив на замовлення, але й чимало для себе (і з часом ця частка лише зростає). Тому тут я тебе розумію
.
Це потрібна справа, про що я усім щоденно нагадую. І тобі в тому числі. Тому обов’язково приділяй питання безпеці своїх веб проектів, інформація на моєму сайті стане тобі в нагоді (зокрема зверни увагу на мій Посібник з безпеки).
Займаюся професійно, Слава. На твій перший пост я ще окремо відповім, бо зараз як раз був зайнятий оновленням іншого мого веб проекту.
Та я на “ти”
. В тому пості йшлося про твою студію, тому й на “ви”, мовляв вас там багато робітників.
Неділя, 01:43 13.05.2007
Кожен день намагаюся заставити замислитися веб діячів (як в Уанеті, так і Рунеті та в Інтернеті в цілому) з приводу безпеки їх сайтів. І за рахунок збільшення безпеки окремих сайтів, підняти рівень безпеки всього Інтернета. Тому приділяй увагу цьому аспекту.
Ну а за безпекою WordPress слідкуй, в тому числі з моїх новин. І виправляй дірки або оновлюй движок, про що я тобі в листі казав.
Цією темою не цікавився, взагалі не дивився на цю категорію плагінів до WP. Плагін WP-ContactForm єдиний з них, що потрапив в моє поле зору. Кожен плагін треба перевіряти на безпеку (як і сайт уцілому), на чому я постійно наголошую. Тому ти або передивися усі плагіни контактних форм, або виправ дірки в цьому, або ж напиши власний. Чи взагалі не користуйся подібними плагінами.
Слава, я щодня людям пишу про дірки в їхніх веб сайтах та веб додатках - в рамках моєї діяльності соціального секюріті аудиту.
Так займаюся. З цього приводу зазначу.
1) Стосовно орфографії: я займаюся професійно, а не проффесійно - з цього приводу до Проффесора
звертайся (в цьому плані треба до Віктора Федоровича).
2) Стосовно веб безпеки: так займаюся професійно. Тому й зробив даний веб проект. Де займаюся дослідженнями в галузі веб безпеки, просвітницькою діяльністю та надаю послуги з аудиту безпеки (окрім мене в Україні аудитом сайтів мало хто займається).
Вівторок, 03:23 22.05.2007
Slava, я мав на увазі цей сайт - podcasting.com.ua. Коли говорив про уразливості на іншому твоєму веб проекті.