https://opennet.ru/openforum/vsluhforumID3/119522.html В трех популярных плагинах для системы управления web-контентом WordPress, насчитывающих более 400 тысяч установок, выявлены критические уязвимости:...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52207<br> https://opennet.ru/openforum/vsluhforumID3/119522.html#57 Fri, 24 Jan 2020 00:56:18 GMT @gogo<br>&gt; из upload можно инклюдом запускать свой код, например ДОС-ботов.<br><br>а что будет инклюдом запускаться ? если человек не может ничего записать в ФС (т.к. всё по ФТП)??<br>а инклюд извне по http запрещён?<br> https://opennet.ru/openforum/vsluhforumID3/119522.html#56 Fri, 24 Jan 2020 00:49:32 GMT &gt; да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них <br>&gt; скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать <br>&gt; свой код, например ДОС-ботов.<br>&gt; в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией" <br><br>@gogo,<br>&gt; инклюдом запускать свой код, например ДОС-ботов<br><br>как будет dos-bot отсылать запросы если интернет у него отключен?<br>разрешены только запросы на вход и на ответы через conntrack. (принцип stateful firewall)<br>&gt; да легко. например, если ломануть админа<br><br>/wp-admin/, wp-login.php закрывается по IP адресу.<br>&gt;из upload можно инклюдом<br><br>Про инклюд понял, здесь согласен. Но разве первые два метода не нивелируют любую пользу от взлома, разве что контент можно отдавать со скрытыми ссылками<br> https://opennet.ru/openforum/vsluhforumID3/119522.html#55 Tue, 21 Jan 2020 13:03:16 GMT Я не специализируюсь на cms на пыхе (боже упоси), просто хочу быть в курсе как мимопроходил.<br> https://opennet.ru/openforum/vsluhforumID3/119522.html#54 Mon, 20 Jan 2020 13:20:42 GMT Наверное то же самое, что высококвалифицированному комбайнеру использовать газонокосилку?<br> https://opennet.ru/openforum/vsluhforumID3/119522.html#52 Mon, 20 Jan 2020 11:31:29 GMT поинтересуйтесь на досуге, как устроена у него нумерация версий (у one-true-tex, а не адаптированных для бубунточки форков, разумеется). А потом, когда узнаете кое-что новое для себя, подумайте еще разок, что я пытался до вас донести.<br><br> https://opennet.ru/openforum/vsluhforumID3/119522.html#50 Mon, 20 Jan 2020 07:34:24 GMT &gt; какая, говорите, версия TeX нынче последняя?<br>&gt; Не зависит от опыта, говорите?<br><br>Ты готов утверждать о том, что в TeX нет ошибок?<br><br> https://opennet.ru/openforum/vsluhforumID3/119522.html#49 Mon, 20 Jan 2020 04:16:53 GMT какая, говорите, версия TeX нынче последняя? <br><br>Не зависит от опыта, говорите? <br><br> https://opennet.ru/openforum/vsluhforumID3/119522.html#48 Mon, 20 Jan 2020 04:13:33 GMT &gt; закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP<br><br>cms на этом перестает работать, обновление поставить нельзя, в том числе дырявого плагина, и первая же дырка с include решает проблему исполняемых uploads.<br>Не говоря уже про sql injections, которые тоже никуда не деваются.<br><br>Но твой бложег в безопасносте, Васян! <br><br> https://opennet.ru/openforum/vsluhforumID3/119522.html#47 Sun, 19 Jan 2020 11:49:55 GMT да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать свой код, например ДОС-ботов.<br>в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"<br>