Система управления сайтами TixCMS

Ага, как бэ уязвимость ;)

Но возможно же!

Однако, см что получается. Код открыт -> дыру нашли -> опубликовали /*ЛЮБОЙ (с достаточной квалификацией) может её закрыть, до того, как выйдет оф.патч */ -> дыру тут же закрыли. Некоторый % юзеров, конечно, мог пострадать до обновления.

Код закрыт -> дыру нашли -> пока вышел патч - пострадали юзеры.

А знаешь почему в первом случае % пострадавших пользователей системы больше?

1. Потому что пользователей открытой системы (ПОС) несоизмеримо больше пользователей закрытой (ПЗС)

2. Найти, атаковать и воспользоваться дырой ПОС сложнее, чем ПЗС. И потому что в ОС их кол-во больше и вариаций аддонов и (ВНИМАНИЕ!) собственных разработок (в тч и по безопасности) чуть менее чем на 100% больше чем ЗС;).

Как-то так в общем.

От cms дело как раз таки ушло. Давным давно было много cms с зашифрованным кодом и где они сейчас. В цмсках практически невозможно накодить что-либо настолько уникального, что имело бы смысл скрывать. Практически все решает маркетинг.

А мне непонятно. Ну сделали вы скриншот сессии и что? В чем дыра то?

Какой именно? У меня первая ассоциация UNIX vs Windows. А если вы о CMS, тогда, повторюсь, полных реализаций даже не видел.

А перед этим, спарсим список всех сайтов на этой CMS и позаливаем шеллы. Потом (если не забудем), конечно, опубликуем. В случае с ПЗС, даже идентифицировать систему не так то просто.

Лично для меня. Чтобы найти уязвимости ПОС, нужно просто прочитать код. Естественно, при этом нужно быть профи. В случае с ПЗС, нужно ждать полнолуния, искать жертву и в темном лесе потанцевать над огнем... каждый раз меняя танец и жертву. А потом узнать, что оказывается надо было танцевать днем и под ласковый май (это когда багу официально прикроют).

Не дыра. Зачем вы User Agent помещаете в cookies?

В том то дело, в полной реализации их нету. Естественно, если код зашифрован с помощью Zend Op, можно много чего отловить, но если код исполняется на другом сервере, а у клиента установлен только клиент + кэшер? Возможно дыру на стороне сервера вообще не найдут. А даже если найдут, все запросы к серверу можно интеллектуально анализировать и при подозрительной активности заносить в журнал. То-есть, взломщика и возможно уже найденную дыру можно будет отловить еще на момент ее реализации, без всяких там баг репортов.

У кого это у нас? Я один.

Да ты гонишь :) Я что, похож на идиота? Начнём с того, что я эту стучалку вообще не юзаю (у меня есть клон, не от гугла, но он изредка запускается для некоторых задач). Ну и привычки отправлять пассы (и тп инфу в сеть) у меня нет. (Да, я старый параноик ;) )

Это кто? ;) Шутка. Конечно, я знаю название софтины.

Нет я не храню так пароли.

Да, я хранил пароли в тоталкоммандире когда юзал винду. И не боялся что они улетят. Т.е. абсолютно.

Да, я сейчас храню несколько паролей в ФФ. Тут я оценив риски пошел на компромисс с удобствами. Даже если они у улетят - ничего особо страшного не случится. Я даже доступы "туда" не потеряю. И инфы "там" нет секретной.

Это не я, это CodeIgniter. Но, допустим, это бы сделал я, чем мешает User Agent в кукисах?

А, вообще, если это не дыра, зачем было постить. Я же просил пару дыр показать из того "множества", что вы разглядели.

Сейчас много cms можно использовать в облаке, чем не реализация? Только это уже совсем другое поле и их нельзя сравнивать с цмс, о которых мы говорим.

Об этом и речь, что еще пойди найди того, кто пользуется такими система.

Ну вот ты сам и ответил на свой вопрос :) Сайтов на ЛЮБОМ паблик-движке несоизмеримо больше, чем на "приватных решениях", тем более закрытых. Поди найди жертву. А возвращаясь к топику - ПОКУПАТЕЛЯ системы.

Да брось ты! Разницы вообще нет. Уязвимость находят вне зависимости закрытый или открытый код.

И давай не начинать по кругу - чаще\реже. Я тебе опять про неуловимого Джо напомню.

Это потому что ты вообще не знаешь как взламывают сайты (и не только их) :) Говоря проще - 2 пути:

1. Взлом непосредственно сайта: Идут стандартные атаки на ВОЗМОЖНЫЕ уязвимости (начиная с XSS и всяким UPDATE в GET\POST и заканчивая персональными атаками).

2. Получение доступа к файлам. Через взлом хостера или тоже через сайт.

В общем в 99% взломщикам код не нужен.

+100.

Из выборки даже в 100 000 сайтов, на sql inj, уязвимых на собственных cms в сотни раз больше чем на всех популярных cms вместе взятых.

з.ы а вообще спор бредовый какой-то.

Как раз таки знаю. Припустим я разрешаю передавать произвольный $_POST['group'], только если Referer какой-то там локальный сайт. Как это можно воспроизвести не видя это исключение в коде? Да никак! Перебор всяких там GET, POST это детская забава. У меня максимальная вложенность входящих параметров PHP max_input_nesting_level - 1. То-бишь, тут даже в Memory Limit не загнать. Ну пришлешь ты мне GET /superpuper'DROP `db`. Ну если у меня построковая валидация URI, что это даст? Что даст, если я очищаю все входящие параметры, кои не прошли точную валидацию по карте? Ничего. Эту уязвимость я уже давно прошел. Не совпадает URL = перебрасываю в поиск и там уже ищу страницу по LIKE.

С этим уже сложнее. Но если не навешивать всяких Open Source фреймворков, всяких супер-пупер полезных библиотек на свою систему, сервер не ломанут. OpenBSD и только нужные бинарники без возможности внешнего взаимодействия. Это лично я использую.

Со строгой валидацией входящих данных, исходный код это единственная зацепка (без прямого доступа к серверу, естественно).

И раз уже за то зашло, то лучше вообще убрать возможность идентификации CMS. Ко мне на сайт столько ботов приходит с запросами типа GET /wp-admin, что сразу вопрос. Неужели нельзя было автоматически называть wp-admin рандомным шифром. Например, md5(домен.соль).

Вот setka_gs отлично резюмировал:

И это есть факт.

А я повторюсь:

И, да. Пожалуй, хватит в топике о движке TixCMS обсуждать общие способы взлома и безопасность в целом.

ТС, добавьте строку потребления памяти в демо, пожалуйста.