Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Разбира се, че има но те са на същия принцип с подобни линкове към административни панели и уязвимости. В момента съм се хванал с WP, защото е лесен за програмиране и ползване, след него ще подхвана и другите.

И аз не хващам идеята.
Има 1000000000 други цмс-а които без тази гимнастика щяха да ти свършат работа
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Че wp кви уязвимости има?
Разбира се, че има но те са на същия принцип с подобни линкове към административни панели и уязвимости. В момента съм се хванал с WP, защото е лесен за програмиране и ползване, след него ще подхвана и другите.
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Напълно си прав, че истински кракер ще го събори за 10 мин., дори не за час. Но не е това целта на упражнението, а да се скрие от повечето автоматизирани скриптове, ровещи по 24 часа и създаващи напълно предотвратими проблеми и любопитковци, чудещи се къде да тестват последния скрипт от metasploit :).

Напълно си прав и за обновяването и поддържането, целта не е те да се заменят, това е огромна грешка. Просто не виждам защо всички трябва да са наясно от първата секунда какво задвижва сайта, коя версия е и какво са прочели преди 2 дена за голямата дупка в него :)

За галерията за съжаление не остава време - остатък от преди години е.

Все пак не мога да разбера идеята като цяло.. Само да скриеш, че е WP.. Ми то тогава вземи наред да криеш и останалите.. Coppermine Photo Gallery примерно.. Не съм убеден, че може да се предпазиш от всичко.. Всички системи имат нужда от подръжка и обновяване.. Колкото са повече, толкова повече работа, а когато са модифицирани в повече.. Не ми се мисли :D То ако желаят да те хакнат, няма да е от основния сайт, а пък да го съборят за някой друг час си е детска играчка.. Но щом ти се занимава :)
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Откриването на уязвимости е динамичен процес - непрекъснато излизат нови и нови. Ето част от оправените в 3.5.2:

CVE-2013-2199
Server-Side Request Forgery (SSRF) is when an attacker is able to compromise your site and turn it against the other sites/hardware/systems that it usually communicates with. via the HTTP API

CVE-2013-2200
Privilege Escalation is exactly what it sounds like. Computer systems work on limiting what people can do, so anyone who can circumnavigate these limits can cause utter havoc. CVE 2013-2200 exposed the ability for contributors and users to publish posts and re-assign article ownership when they shouldn’t be allowed.

CVE-2013-2173
Denial of Service (DoS) attack could have occurred by an attacker setting up various toxic cookies, taking the site offline via the Post Password Cookies process. More can be read at the CVE site for WordPress vulnerability 2013-2173.

CVE-2013-2201 and CVE-2013-2205
Cross-Site Scripting (XSS) occurs when an attacker is able to run code on your site from another machine or site, attacking YOUR users from YOUR site. Harsh! CVE 2013-2201 and 2205 tackled this for bugs found in the uploading media processes.

CVE-2013-2203
Full Path Disclosure (FPD) could have previously occurred during a file upload on the system. Although not dangerous in itself, this extra information grants attackers move ground for them to work on. If in doubt – always limit information exposure.

Че wp кви уязвимости има?
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Затова избягвам готовите системи. По-добре да си беше изградил (програмирал) сайта офлайн, след което да го качиш на хоста.
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Аз също ги избягвам, където е възможно и създавам само чисти статични сайтове. В случая този сайт е експеримент за да създам лесно управляем сайт със CMS зад него, но кода му да е чист и оптимизиран като ръчно създаден. И май съм близо до целта :)

Затова избягвам готовите системи. По-добре да си беше изградил (програмирал) сайта офлайн, след което да го качиш на хоста.
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Много добро начинание! Само един въпрос имам. Ако си модифицирал сайта за да не се вижда че е WP и се смени темата на някоя от платените, модификациите ще се запазят ли, или трябва да се правят допълнителни настройки за да се прикрие.
 
Re: От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Напълно си прав, че истински кракер ще го събори за 10 мин., дори не за час. Но не е това целта на упражнението, а да се скрие от повечето автоматизирани скриптове, ровещи по 24 часа и създаващи напълно предотвратими проблеми и любопитковци, чудещи се къде да тестват последния скрипт от metasploit :).

Напълно си прав и за обновяването и поддържането, целта не е те да се заменят, това е огромна грешка. Просто не виждам защо всички трябва да са наясно от първата секунда какво задвижва сайта, коя версия е и какво са прочели преди 2 дена за голямата дупка в него :)

За галерията за съжаление не остава време - остатък от преди години е.


значи човек загубил си няколко дни да се маскираш за нещо което няма смисъл секюрити се постига чрез наличието много слоеве защита и тази тема може да я дъвчем дълго... ти наблягаш само върху един....


Обаче веднага ще дам 20 минутно решение всеки почти статичен сайт визитка с който и да цмс до сайт с 500 страници .... и нагоре ( то всъшност е няма и 5 минутно решение с един ред) но е хубво да отделиш 10 тина минутки преди това да го подготвиш да махнеш някои линкове от хоума да не ги прави на статични тях....

идеята става за всеки сайт който не се обновява много често като под много често имам на предвид няколко пъти на ден е неудобно или ако е сайт съдържание генерирано потрбителите не става

та какво имам на предвид:

ами ако чак толкова те притеснява да не хакнат урдпреса решение в сисадмински стил е:

Код:
wget -m http://www.example.com/

като евентуално може да направиш линковете релативни да може да си го брузваш и едитваш офлайн

Код:
wget -mk http://www.example.com/

след това местиш всички фалилове на урдпреса в една директория с права от 700 надолу или в директория под публик хмл /ввв или и качваш мирора :) нека ханат този урдпресс :)

като трябва да блогнеш стига да е само веднъж на ден или по рядко местиш всичко с два клика в главната блогваш и правиш нов мирор и местиш обратно ... чиста работа...

в твоя случай като пуснеш мирора гледам че не се ъпдейтва често ще забравиш кога си го правил....

следва копермайна

след него сървъра ...

след това следва човешкия фактор който има достъ и операционните системи който ползват за аминистриране и процедурите който следва щото любимата история ми е да си напише юзера и паролата на листче и да си го лепнат на монитора да го гледат тези дето чистят или още по грубо ако не е офис сграда да се вижда през прозореца от минаващи по улицата... пп и после като се позацапа листчето нищо че е читаемо да го хвърлят в боклука да не им грози работнот място... хаха

п
 
Последно редактирано от модератор:
За динамичен вп сайт със следната конфигурация нямам пропуск от години... като даже някой неща са добавяни във времето като допълнителни слоеве

Bullet Proof Security (вече пази и логина иначе преди + Login Lock Down) + modsecurity на сървъра + Linux Malware Detect пуснат на монитроинг в реално време (+ ако ме подгонила параноята вързан с моде секюртитио фаируол да ги ошляпва иптата при няколко грешни стъпки ) + за всеки случай офсайт бекъп на два дни :)
 
Последно редактирано от модератор:
От: Re: От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Това е красивото форуми като този - някой набляга на един слой, друг набляга на друг слой. Накрая някой, който търси решения прочита всички и си харесва, каквото му е нужно.

Вложих няколко дни, но после ще го приложа 100 пъти и времето ще се оправдае, да не говорим, че ще дам идеи и на други хора да го развием заедно. А относно слоевете те са няколко, това не е гол WP сайт - ще опиша всичко с подробности в отделна тема.

Според мен едно добро правило в сигурността е липсата на излишна информация. Не е единственото и окончателно, но е добро начало.

значи човек загубил си няколко дни да се маскираш за нещо което няма смисъл секюрити се постига чрез наличието много слоеве защита и тази тема може да я дъвчем дълго... ти наблягаш само върху един....
 
Последно редактирано:
От: Re: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Напълно подкрепям метода.

За динамичен вп сайт със следната конфигурация нямам пропуск от години... като даже някой неща са добавяни във времето като допълнителни слоеве

Bullet Proof Security (вече пази и логина иначе преди + Login Lock Down) + modsecurity на сървъра + Linux Malware Detect пуснат на монитроинг в реално време (+ ако ме подгонила параноята вързан с моде секюртитио фаируол да ги ошляпва иптата при няколко грешни стъпки ) + за всеки случай офсайт бекъп на два дни :)
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Не би трябвало да е голям проблем, промените не са нещо драстично. Но повечето готови теми внасят доста "шум" като коментари в кода.

Много добро начинание! Само един въпрос имам. Ако си модифицирал сайта за да не се вижда че е WP и се смени темата на някоя от платените, модификациите ще се запазят ли, или трябва да се правят допълнителни настройки за да се прикрие.
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Моля всички да не обръщат внимание на галерията :) Знам, че е ужасно наследено решение и трябва да се промени, но по сайта няма финансиране и затова ще стане, когато остане време. Нека темата се придържа към това, което тествам с WP.
 
От: Тествам един CMS, някой специалист да погледне сайта за очевидни дупки?

Както обещах, ето кратко ръководство как направих всички промени по WP сайта:
http://www.predpriemach.com/showthread.php?t=43707
 

Горе