Небольшие исследования этой новости.
На днях интересовался, а что из себя представляет Mail.Ru, какими интересными возможностями располагает. Полистав страницы с сервисами, забрел на данный корпоративный блог. К моему удивлению заметил, что блог реализован на WordPress.
На WordPress! Неправда ли странно?!
Сразу вспомнились недавние новости про xmlrpc ddos 🙄 и проскочила мысль, а может быть мне есть что отписать службе безопасности мэйла. Сразу скажу, никоим образом не занимаюсь исследованиями в области безопасности и не практикую, но по профессиональным интересам могу чем-нибудь пригодиться.
Приступаем к поиску:
Для начала определил версию движка, сделав запрос к http://corp.mail.ru/blog/feed/
результатом показалась лента с заветной строчкой «<generator>http://wordpress.org/?v=3.9</generator>»
Дальше проверил доступность
http://corp.mail.ru/blog/wp-login.php - 403 Forbidden
http://corp.mail.ru/blog/wp-admin - 403 Forbidden
Директории авторизации подшаманены.
Ну и проверил xmlrpc pingback.ping, может быть можно кого-то мейлом поддосить
Результат отрицательный, так как версия движка обновлена. Печаль.
Далее проверил, может что-то установлено из уязвимых плагинов
Заинтересовал плагин nextgen-gallery. Выясняем его версию
Версия nextgen-gallery 1.9.8, бегло гуглю уязвимости — пусто. Встречается лишь XSS в более старой версии. Проверяю ее — отрицательно. Качаю плагин данной версии и пробую найти какое-то узкое место. Все без результатно, по ходу узнаю корень размещения сайта.
Ищу эксплоиты на wp-polls 2.63 , Easy FancyBox 1.5.5, без результатов.
на этом все :(
Проверил какие типы файлов можно заатачить.
https://af.attachmail.ru/cgi-bin/readmsg?rid=3076465087382274854137057249584159875065&id=13981129980000000645%3B0%3B1&bs=1938&bl=152&ct=xml&cn=dd3.xml&cte=base64
Где &ct=xml - тип документа, MIME-types
ничего активного загрузить не смог, попробовал несколько вариантов XXE - не прошло.
Окончательно расстроился :p
Может нагрузка выросла? сложно сказать. На скорость может влиять какие-то ошибки или нагрузка.
Выставите метатег. Документ будет кэшироваться, даже если и не должен, вроде бы, при обычных обстоятельствах.
Метрика палит заходы и длительность на Вашем сайте. Скорее всего она поняла, что не обосновано Вам давать ТОП-10 за столько отказов и не тематическую аудиторию. По этой причине метрика не для всех, только если сайт где-то внизу или где посещалка и активность большая.
Если продвигаетесь через социалки, то метрику лучше не размещать на сайте. Так же лучше поступить, если идет какого-то рода нарутка.. пусть яндекс учитывает только ссылки и соц активность, этого хватит для выхода в топ.
Имхо. Не надо забывать, что счетчики собирают вашу реальную посещалку и ее качество. В других случаях они этого сделать не могут.
На хабре нашу статью не добавили, по всей видимости это бы качнуло репутацию. Думаю там все проплачено 😂
Нет, потому что они якобы знали об этой уязвимости. Хотя Зал славы пуст за апрель.
Для всех, нужно вначале спрашивать, есть ли у них уязвимости, а потом писать им о них ☝
А все ли способы защищены капчей? Могу привести пример не совсем поисковой, но есть лазейки и поисковые. Проверено, что 300 элементарных запросов разом не идут под капчу.
http://yaca.yandex.ru/yca?text=пластиковые+окна
А насчет гугла, есть совсем халява, а есть сайты-партнеры типа
http://www.ask.com/web?q=пластиковые+окна
где лимиты - 10.000 запросов, если долбить. Огромная экономия на прокси. Таких партнеров можно с десяток найти.
Отключите отзывы и включите что-то типа http://hypercomments.com/ru (комментарии через соц. сети). Так будет видно кто пишет.
Или а страницу с отзывами вы можете подключить http://socfishing.ru - бесплатно 7 дней, и будете знать, кто оставляет вам комментарии, если человек зарегистрирован Вконтакте.
Я бы еще расценки skype и voip посмотрел, так как можно что-то более бюджетное подобрать с прямым номером.
8-800 связь не из дешевых, нужно платить.
Да. Закрыли. Теперь преобразует специальные символы в HTML-сущности.
Какова область применения скрипта. Защита от взломов?
Как я понял идет сверка хеш-сумм файлов или все же размеров? Если есть сверка хеш-сумм то как вариант куда-то подавать их на обработку, например на поиск по базе вирусных хешей.
Неплохой скрипт в данном исполнении можно посмотреть тут http://www.revisium.com/ai/
Так же под вопросом, а как быть, если уже есть место заражению. Ведь проблемы образуются по факту, когда уже поздно.
Для пущей безопасности набросал пример
Посмотреть, http://jsfiddle.net/CAYS4/
Мне кажется, у Вас все нормально, просто не задан дескрипшен.
А как известно без него поисковик берет текст в снипет из статьи, возможно даже с <noindex>.
