- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Вот пример того как с помощью добытых паролей я изменил информацию на чужом сайте
вот за это есть статья, которая грозит Вам, а не разработчикам того софта, так что советую убрать.
Про софт - на Вашем сайте скорее всего не настроен обработчик для расширения phtml и авторы скрипта если и виноваты, то наравне с Вами(или Вашим админом)
DM.,
в продукте ничего не надо было править.
Надо было исправить в настройках сервера, чтоб он не показывал исходный текст у phtml-файлов, а вызывал для них интерпретатор.
У большинства CMS систем пароли к БД хранятся в аналогичных файлах и никак не зашифрованы.
DM.,
Вы можете еще раз 100 повторить, но эти повторения пока говорят о том, что Вы не понимаете сути проблемы с безопасностью.
Хостинг Вам тоже эти же разработчики предоставили?
Если да, то тут Вы правы - они виноваты.
Если хостинг не их, то указанные настройки сервера, а не "готового продукта" должны были произвести Вы или Ваш администратор.
Вы наверное заметили, что я не говорю про остальное - ошибки в функционале и плохую техподдержку.
ЗЫ
Судя по ссылочке
http://www.yandex.ru/yandsearch?ras=1&date=&text=747+77+11&spcctx=phrase&zone=all&linkto=&wordforms=all&lang=all&within=0&from_day=&from_month=&from_year=&to_day=21&to_month=2&to_year=2006&mime=all&Link=&rstr=&site=&numdoc=10&ds=
Вас "любят" и видимо есть за что :)
давайте стараться конструктивно подходить к диалогу - я не защищаю разработчиков, но и Вас тоже не защищаю
DM.,
Если Вы настраивали и устанавливали скрипт на своем сервере сами, то это ИМХО - Ваша ошибка!!!
DM.,
Если Вы настраивали и устанавливали скрипт на своем сервере сами, то это ИМХО - Ваша ошибка!!!
DM.,
Вы наверное заметили, что я не говорю про остальное - ошибки в функционале и плохую техподдержку.
Если набрать строку http://www.****.ru/include/classified.inc.phtml то скачивался НИЧЕМ НЕ ЗАЩИЩЕННЫЙ файл со всеми паролями.
Это стандартное явление, просто такие файлы обычно размещают непосредственно в домашней директории, не доступной из WEB, в крайнем случае закрывают каталог от всех .htaccess-ом, а про глюки Вы правы, если два месяца латали скрипты значит каталог не стоит заплаченных денег, но боюсь свою правоту Вы не докажите.
Тем, более что я прошел 20 каталогов с таким же скриптом и нашел только 2 каталога с такой же дырой, на остальных 403 ошибка, что и должно быть.
Про софт - на Вашем сайте скорее всего не настроен обработчик для расширения phtml и авторы скрипта если и виноваты, то наравне с Вами(или Вашим админом)
Это верно. Единственное что хотелось бы уточнить. Не указано ли это в руководстве пользователя? Если там нет ничего, относительно настройки правв доступа, а так же настройки сервера на обработку phtml (что за дурь, кстати), то авторы ПЛАТНОГО продукта - виноваты. Если же эти моменты освещены в руководстве, то виноват автор темы. Такие дыры постоянно возникают, просто одно дело когда продукт поставляется "as is", но не в этом случае.
Вот пример того как с помощью добытых паролей я изменил информацию на чужом сайте
http://www.webcat.net.ru/11487.jpg
http://www.webcat.net.ru/12345.jpg
DM, Ваши эмоции понятны, но уголовный кодекс полезно чтить. Задумайтесь об этом.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации,
то есть информации на машинном носителе, в электронно-вычислительной машине
(ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование,
модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ
или их сети, -
наказывается штрафом в размере от двухсот до пятисот минимальных размеров
оплаты труда или в размере заработной платы или иного дохода осужденного за
период от двух до пяти месяцев, либо исправительными работами на срок от шести
месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору
или организованной группой либо лицом с использованием своего служебного положения,
а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -
наказывается штрафом в размере от пятисот до восьмисот минимальных размеров
оплаты труда или в размере заработной платы или иного дохода осужденного за
период от пяти до восьми месяцев, либо исправительными работами на срок от
одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо
лишением свободы на срок до пяти лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом,
имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование
или модификацию охраняемой законом информации ЭВМ, если это деяние причинило
существенный вред, -
наказывается лишением права занимать определенные должности или заниматься
определенной деятельностью на срок до пяти лет, либо обязательными работами
на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы
на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, -
наказывается лишением свободы на срок до четырех лет.