Навигация
 
Сейчас на сайте
Гостей: 21

Гости:
[Ваш IP] 21:10:53
/Форум/Тема
46.229.168.153 21:10:03
/Форум/Тема
46.229.168.136 21:09:58
/main.php
46.229.168.134 21:09:16
/Форум/Тема
54.36.150.180 21:09:08
/Форум/Тема
54.36.148.169 21:09:05
/Файлы
46.229.168.132 21:09:02
/Форум/Тема
46.229.168.163 21:08:55
/Форум/Тема
46.229.168.161 21:08:51
/Форум/Тема
213.166.78.157 21:08:46
/Форум/Форумы
11 - не показано

Всего пользователей: 116
Новый пользователь: Tim
 
RSS потоки
RSS Форумы: тема

RSS Новости
RSS Комментарии
RSS Форумы
RSS Статьи
RSS Фотогалерея
RSS Файлы
RSS Ссылки
 
Нажималка
[хочу себе такую панельку!]



Ваш код:
(кнопка | ссылка)

[Полный список кнопок]
 
Автор: Polarfox
ID темы: 230
Тема прикреплена
Эта тема прикреплена и может содержать важную информацию.
Просмотр темы
unLogic Lab » Инфоцентр (Info-center) » Информация (Info)
 Распечатать тему
PHP-Fusion - уязвимости и плагины
Polarfox
Немного поясню заголовок -
Я немного расскажу об уязвимостях и плагинах применительно к нашему движку, и фактически об уязвимостях В плагинах. В общих чертах, без конкретных примеров и раскрытий конкретных версий и самих плагинов - чтобы скрипт-дети (Скрытый текст: (школие уходи, школие не входи)) учили уроки, а не дефейсили скромные саеты урюпинсков.


Самое простое - самое безопасное
Это главное правило. Сложно найти уязвимость сайтов без динамики - чистые странички HTML. Но кому такие нужны? Потому нужно просто подходить с умом к установке плагинов.

На этом месте я рекомендую не лепить сайт самим, если вы плохо соображаете что да как, а найти толкового человека, который будет понимать что делает, а лучше - отвечать за это.

Итак самое главное что я хочу сказать:
Наш движок отличается простотой и низким порогом вхождения, до версии 7.02 [и версии 6-5-и ниже наверняка] - сплошное процедурное программирование (если сложные слова - не грузите себя, и далее тоже, главное поймать суть). Плагины, расширения, дополнения, панели - пишут все кому не лень - но что в итоге бывает?

А бывает: не оптимизированный код, непродуманная структура, сложное нагромождение нескольких типов [чужого] кода, и главное (в контексте этой темы) - проблемы с безопасностью.

Что за проблемы и насколько это опасно?
Когда я проводил эксперимент, я вначале искал публичные уязвимости. Но видимо я плохой искатель - в паблике "дыры" старые и часто закрытые. Но разве это проблема?

Большинство кодов доступно для изучения, на самом деле - публикация работы нормальной системы не делает ее уязвимой, все знают как работает MD5 (кто не знает - в wiki) - найдёте коллизию за пару минут? А если чуть усложнить солью? А если взять обратимое шифрование? (тот же совет, это просто пример, он не сильно важен, можно не вникать)

И что же мы видим: отсутствие проверок, свободный доступ и нестабильное поведение плагина. Это часто ОЧЕНЬ сильно отличается от кода PF, тут даже нет вопросов.
Сразу скажу - я говорю не о всех, но о части, и у пользователей, у которых эта часть стоит, радости от этого не много. Если они вообще знают, что ими [их хостингом] пользуются.

Конкретных примеров я называть не буду [в моем статусе было бы глупо дефейсить сайты, и даже немного забавно Smile ], я убедился что подняться от гостя до суперадмина несложно, исключительно из-за сторонних (3rd party) плагинов и невнимательности при подходе к безопасности (я не скажу - пофигизму, именно ошибки и невнимательность, но порою встречается и безразличие).

Отступление
Я стараюсь не выкладывать плагины 3их лиц, именно поэтому - даже если я уверен что человек работает хорошо и правильно, я как бы несу ответственность за его код.
Очень грустно если надежды не оправдаются... Потому пусть этой ответственности будет поменьше, не могу же я следить и анализировать каждый плагин?

Тем же грешат базы модов и плагинов - часто там не проверяется код на уязвимости, и тем более на производительность и остальное (ухожу в оффтоп уже...)

А еще, у меня есть и свой код, который из-за аксиомы "код без ошибок - это код которого не существует", тоже может и не радовать... Все может быть Smile


Подходим ближе к итогам,
Кто виноват?
Большей частью разработчик плагина, и на 100% он, если это получилось от пофигизма.
А меньшей - вы, нужно было внимательно смотреть что там, в красивой обертке, а для этого нужно немного разбираться в проблеме, и брать решения от профессионалов.

И наконец,
Итоги
  • Внимательней с выбором - самое главное
  • Для проектов "надолго" найдите специалиста, который хоть изредка будет помогать со всей ответственностью, или учитесь сами.
  • Не ставьте "всего и побольше", только из жадности, всему нужна своя цель
  • Правило "чем меньше тем... безопасней" правильно, в идеале - чистый движок
  • Даже популярные плагины могут быть уязвимы (чем популярнее - тем больше риск что найдут еще ошибку)
  • Лучше обойтись малым, но качественным
  • Кривой открытый исходник - это очень плохо. Но не стоит думать, что кривой закрытый код сможет спасти вас. В лучшем случае - этого хватит ненадолго
  • Некоторые вещи не публикуются открыто, но если уязвимость есть - в определенных кругах о ней могут знать, и вопрос времени - когда ваш сайт попадется боту или совсем не боту, под горячую руку
  • А еще - уязвимую часть кода можно просто ИСПРАВИТЬ, если знать как


В конце я немного расскажу о том как делаю я (раз уж я начал говорить, как делают некоторые другие)
Одним из основных аспектов в подходе - а в принципе главным аспектом - я считаю именно стабильность кода.
Вы можете вводить что угодно, нажимать куда угодно, загружать что угодно (собирать запрос на своей машине, подменять любые данные... долго продолжать, но я стараюсь учитывать почти все, в пределах компетенции конечно) - если что-то пойдет не так - это серьезная ошибка,и она должна быть исправлена в считанные часы. Потому я стараюсь чтобы все шло "так".
Естественно здесь я говорил не про суперадмина (в части случаев - просто админа с правами) - они могут сломать систему легко и просто, на то и права Smile

Именно поэтому я уделяю много внимания проверкам данных, включая собственные улучшения в этом плане, сохраняя баланс между безопасностью и удобством, при этом перегибая в сторону безопасности, если необходимо (это заметно? я думаю нет Smile )

В общем - как дом не падает от грома, сайт не должен упасть от школьника/бота. Как минимум.
Собственно эта идеология взята как раз с PF, спасибо Нику Джонсу за это!


Вот почти все изложено, и надеюсь, это поможет немного избежать неприятностей.
Будьте аккуратны, но не запуганы, спасибо за чтение!

PS И здесь ни капли саморекламы, зато 100% хороших советов, совсем бесплатно и даже без смс.


unLogic creator | For English speaking users
unlogic.info/images/unapproved_dev.png
 
http://unlogic.info
WhiteFox
Короткая навигация по форуму (избранное): [Пропустить]

А еще есть Файлы - небольшая полезная подборка от меня


Все мои (и не только) загрузки я размещаю на форуме.
Понравившийся аддон можно скачать , кликнув по ссылке с файлом внизу поста - первый пост по традиции - это описание, ссылки на скачку и примеры работы.
Бесплатно, без регистрации, быстро и просто.

Вы можете свободно копировать информацию к себе, при условии установки активной ссылки на автора (по большей части - это все же я), сайты партнеры могут просто указать авторство, без ссылки.
Поскольку большинство скриптов я обновляю постоянно - если вы захотите распространять мои скрипты, я рекомендую просто делать ссылки на темы, либо следить за обновлениями.

 
BAD-DIMAN
Сделал бы черный список плагинов и скрыл бы его от гостей или пользователей не имеющих опр. кол-во сообщений, или я даж не знаю, но черный список плагинов нужен обязательно.


Изменил(а) Polarfox, 23.10.2011 17:35:48
 
http://schuchin.by
7Azimuth
Хе, хе, хе прям про меня статьяGrinЯ переставил все, что только можно было поставить. Ну, почти всеSmileВроде бы пока ничего не сломали.


 
http://fmv-community.ru/
Polarfox
Черного списка не будет, это антиреклама, и вообще неправлиьно.

Лучше белый тогда уж, но это большая ответственность и много работы. Слишком много для меня.


unLogic creator | For English speaking users
unlogic.info/images/unapproved_dev.png
 
http://unlogic.info
jikaka
все-таки неплохо было увидеть примеры с ошибками в безопасности, хотя бы часто возникающих


www.rusfusion.ru - сайт официальной поддержки PHP-Fusion в России
 
www.rusfusion.ru
Polarfox
Не получится, одну две исправят, будут считать что все ок - а на самом деле...

Кому нужны примеры ошибок - гугль в помощь, но это довольное сложное дело - аудит кода на безопасность.


unLogic creator | For English speaking users
unlogic.info/images/unapproved_dev.png
 
http://unlogic.info
BAD-DIMAN
PolarFox написал:

Не получится, одну две исправят, будут считать что все ок - а на самом деле...

Кому нужны примеры ошибок - гугль в помощь, но это довольное сложное дело - аудит кода на безопасность.


Согласен с JIKAKA, все таки хочется живой пример, как взлом происходит и через что и каким образом, один пример хотя бы подробно расписаный. Давно интересовался как сайты ломают, нашол только один живой пример который сам попробывал насколько я помню через гугл ищем md5 пароль админа, ищем програмку для расшифровки и все дела. А как бы вот каким образом через html делают или через php когда права выстовлены на файлы хотел бы почитать об этом. Интересная тема.

 
http://schuchin.by
jikaka
BAD-DIMAN, я имел ввиду немного другое
просто себя не считаю спецом в этом деле
и хотел для себя что-то уточнить,
т.е. на что обращать внимание, что не забыть
т.е. например, при создании панели для безопасности необходимо в начале файла указать следующее
if (!defined("IN_FUSION")) { die("Access Denied"); }

вот такого плана...


www.rusfusion.ru - сайт официальной поддержки PHP-Fusion в России
 
www.rusfusion.ru
Polarfox
Показательных примеров и живых (на действующих ныне плагинах) не будет.
Я понимаю что всем хочется знать, насколько защищено что либо, но не все так очевидно как кажется, лучше пусть этим занимаются разработчики.

Но теорию дам - ввод пользователя не обрабатывается надлежащим образом, - это типично для простых скриптов.


unLogic creator | For English speaking users
unlogic.info/images/unapproved_dev.png
 
http://unlogic.info
7Azimuth
После статьи решил пересмотреть свои взгляды на сайтостроение и сейчас удаляю все не нужное, оставляя только нужноеSmile


 
http://fmv-community.ru/
jikaka
вот это верно!


www.rusfusion.ru - сайт официальной поддержки PHP-Fusion в России
 
www.rusfusion.ru
jikaka
что в голову влез такой вопрос:
если имеется в папке infusions дырявый плаг,
который не установлен в двиге или был установлен,
но сейчас удален, это опасно?


www.rusfusion.ru - сайт официальной поддержки PHP-Fusion в России
 
www.rusfusion.ru
Polarfox
Если у тебя была в кармашке бомба, которая не была работоспособной (или была), но сейчас ее нет - ты взорвешься внезапно? Smile


unLogic creator | For English speaking users
unlogic.info/images/unapproved_dev.png
 
http://unlogic.info
jikaka
замечательная аналогияROFL


www.rusfusion.ru - сайт официальной поддержки PHP-Fusion в России
 
www.rusfusion.ru
7Azimuth
А что мешает удалить весь неиспользуемый хлам от старых плагинов?


 
http://fmv-community.ru/
jikaka
7Azimuth, это самое верное решение, просто бывает, что забываешьGrin


www.rusfusion.ru - сайт официальной поддержки PHP-Fusion в России
 
www.rusfusion.ru
7Azimuth
Я так делаю. Качаю то расширение, которое хочу удалить. Смотрю его структуру файлов и ридми и потом удаляю все!


 
http://fmv-community.ru/
jikaka
а если ты пользовался им после его установки продолжительное время, после чего его шустро из админки удалил, то необходимо лезть на фтп, на что не всегда есть время - относительно конечно


www.rusfusion.ru - сайт официальной поддержки PHP-Fusion в России
 
www.rusfusion.ru
7Azimuth
А что так прямо долго на FTP зайти? Я каждый день там по несколько раз бываюSmile


 
http://fmv-community.ru/
jikaka
на что не всегда есть время - относительно конечно

лень правит миром


www.rusfusion.ru - сайт официальной поддержки PHP-Fusion в России
 
www.rusfusion.ru
Перейти на форум:
 
Подобные темы
Темы Форум Ответов / Просмотров Последние сообщения
Требуется копирайтинг для веб-студии работющей с PHP-Fusion плюс аудит сайта  →  Оффтопик и флуд 3 / 15199 28.08.2014 09:54:47
Новый сайт-хэлп по PHP-Fusion для блондинок. Твоё мнение ?  →  Академия (Academy) 7 / 21828 15.02.2013 12:24:35
Какие вообще перспективы есть у PHP-Fusion?  →  Оффтопик и флуд 3 / 8906 2.10.2011 12:32:57
Highslide в PHP-Fusion  →  Академия (Academy) 18 / 35543 20.03.2011 18:44:19
Плагин "Биржа труда" для PHP-Fusion v. 7  →  Сторонние вещи 1 / 3355 1.07.2010 13:39:32
Пару модов для power fusion forum v.2.2.1final  →  Сторонние вещи 2 / 6566 21.06.2010 09:38:35
Плагины для FireFox  →  unS - Безопасность и стабильность 0 / 4304 9.02.2010 10:20:18
Страница смена имени для Fusion SF 6  →  Архив №6 0 / 2432 18.01.2010 10:30:43