Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в системе управления контентом Joomla, opennews (??), 22-Окт-15, (0) [смотреть все] Конешно, он же написан на PHP, а этот язык совершенно не умеет пользоваться мозг, Аноним (-), 23:29 , 22-Окт-15, (3) –4 // Язык прекрасный, гораздо лучше подходит для написания веб приложений чем всякие , Аноним (-), 02:31 , 23-Окт-15, (8) –3 // Я не особо слежу за его развитием, но кажется этот лучший язык для веб приложени, angra (ok), 06:42 , 23-Окт-15, (9) // php-fpm встроен начиная с версии 5 3 , Аноним (-), 07:06 , 23-Окт-15, (10) Тебе же сказали, что PHP-FPM это обёртка над CGI, Аноним (-), 08:32 , 23-Окт-15, (12) Почему-то в Drupal и TYPO3 такого беспредела, как у этих детсадовцев, не наблюда, Michael Shigorin (ok), 11:33 , 23-Окт-15, (17) +2 // Тут важна совсем другая штука, а именно чтобы предотвратить появление комментов, Аноним (-), 13:26 , 23-Окт-15, (19) TYPO3 нужно долго изучать, Typhoon (ok), 23:01 , 23-Окт-15, (22) Лол Этим ещё кто-то пользуется , th3m3 (ok), 00:15 , 23-Окт-15, (5) +7 // Ну-ка, ну-ка, уважаемый Подскажи чем же нам пользоваться , Александр (??), 08:10 , 23-Окт-15, (11) // Golang, Erlang, Rust, Python, C 14, Java , Аноним (-), 09:15 , 23-Окт-15, (13) +1 // ну в java-то уявимостей нет, а обновления они от скуки делают, Аноним (-), 09:31 , 23-Окт-15, (14) Хм Что-то раньше не слыхал о таких CMS , Аноним (-), 10:34 , 23-Окт-15, (15) +2 Не залезая в гугол на бидоне - плон, джанго, на эрланге - зотоник, закись, чика, YetAnotherOnanym (ok), 11:01 , 23-Окт-15, (16) Например, теми же Drupal TYPO3 А php отчасти купируется mod_security, только н, Michael Shigorin (ok), 11:34 , 23-Окт-15, (18) // А почему не жанга , Typhoon (ok), 23:05 , 23-Окт-15, (23) Да и вообще нужно переходить на статические сайты, Typhoon (ok), 23:07 , 23-Окт-15, (24) т е как обычно - возможность SQL-инъекции , manster (ok), 01:15 , 23-Окт-15, (6) +2   // И, как обычно, весь SQL исполняется на SQL-сервере с максимальными если не адми, Дворник (??), 16:45 , 23-Окт-15, (20) –1   // Пользователю вообще доступ к БД незачем А вот скрипту, который его авторизует, , тоже Аноним (ok), 17:08 , 23-Окт-15, (21)   // Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся , Дворник (??), 22:04 , 25-Окт-15, (28)   Для начала просто делать prepare биндинг параметров, везде, manster (ok), 00:12 , 24-Окт-15, (26)   // Это просто факт, не требующий обсуждения Я же немного о ином Гарантировать отсу, Дворник (??), 22:14 , 25-Окт-15, (29)   Кто б удивлялся , YetAnotherOnanym (ok), 01:49 , 23-Окт-15, (7) +1 Классно, можно бабло грести обновляя это, а если бабулетки не башляют, то пусть , Typhoon (ok), 23:10 , 23-Окт-15, (25) // Обновляя и повышая безопасность и ускоряя джумлы Ещё можно бэкапы настроить , Georges (ok), 00:50 , 24-Окт-15, (27) 3,5,6,7,25

Сообщения

[Сортировка по времени | RSS]

6. "Критическая уязвимость в системе управления контентом Joomla"	+2 +/–
Сообщение от manster (ok), 23-Окт-15, 01:15
т.е. как обычно - возможность SQL-инъекции ...
Ответить | Правка | Наверх | Cообщить модератору

	20. "Критическая уязвимость в системе управления контентом Joomla"	–1 +/–
	Сообщение от Дворник (??), 23-Окт-15, 16:45
	> т.е. как обычно - возможность SQL-инъекции ... И, как обычно, весь SQL исполняется на SQL-сервере с максимальными (если не админскими) правами. Почему бы не ограничить соединение с SQL-сервером правами, необходимыми и достаточными для авторизированного на web-морде конкретного пользователя? Зачем, например, гостю иметь доступ к таблице с пользователями и их паролями (пусть даже и хешами с солью)?
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Критическая уязвимость в системе управления контентом Joomla"	+/–
	Сообщение от тоже Аноним (ok), 23-Окт-15, 17:08
	Пользователю вообще доступ к БД незачем. А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Критическая уязвимость в системе управления контентом Joomla"	+/–
	Сообщение от Дворник (??), 25-Окт-15, 22:04
	> Пользователю вообще доступ к БД незачем. Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся. И возможности изыскивают. > А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей. Неплохо.. Ну, это субъективно. Но можно, например, дёрнуть функцию из БД (передав ей логин и пароль) из-под роли, которой разрешён доступ лишь к этой одной функции. А она уже может и роль новую вернуть. Повторюсь - зачем скриптам иметь полный доступ к БД?
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Критическая уязвимость в системе управления контентом Joomla"	+/–
	Сообщение от manster (ok), 24-Окт-15, 00:12
	Для начала просто делать prepare + биндинг параметров, везде
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	29. "Критическая уязвимость в системе управления контентом Joomla"	+/–
	Сообщение от Дворник (??), 25-Окт-15, 22:14
	> Для начала просто делать prepare + биндинг параметров, везде Это просто факт, не требующий обсуждения. Я же немного о ином. Гарантировать отсутствие ошибок невозможно в принципе. Не будет своих, так нарвёшься на дыру в php (раз уж Joomla на нём писана), или в веб-сервере, или в libgd или lib*sqlclient каком-нибудь... Но почему, например, возможность исполнения произвольного (php-)кода на сервере автоматом тянет за собой доступ ко всей БД (притом не только на запись, но и на alter/create/etc)? Вот это-то мне и не ясно.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема