ForumCała strona

Nawigacja

Aktualnie online

Gości online: 21

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Uwaga hakerzy!

Milka dnia 05 kwietnia 2007 16:50 · 24 komentarze · 14675 czytań · Drukuj

Bezpieczeństwo Digitanium: Zwróciło naszą uwagę, że hakerzy obecnie skierowali swe działania przeciwko PHP-Fusion, używając ku temu kilku infusionów, które okazały się słabo zabezpieczone przed exploitami.
Chodzi głównie o wtyczki: Arcade (starglowone.com) i Top Lista (rll.dk).
Jeśli używacie któregoś z w/w infusionów, polecamy pobranie najnowszej wersji/aktualizacji lub całkowitą ich deinstalację.

Wyjaśnienie: Infusiony tworzone przez osoby trzecie, nie są testowane przez DevTeam.
Niestety nie mamy czasu testować każdą wtyczkę przed udostępnieniem dla PHP-Fusion.
Nie możemy również ponosić odpowiedzialności za czyny bezrozumnych hakerów..
Ta strona zajmuje się tylko częścią zagadnień związanych z naszym CMS'em, więc dyskusje dotyczące modyfikacji powinny być umieszczone na oficjalnej stronie modów. Dziękujemy.

Z phpfusion-mods.com:

PMM: Zwróciło naszą uwagę, że ostatnio hakerzy skierowali swe działania na strony oparte o PHP-Fusion, które używają wielu infusionów, w tym tych podatnych na exploity. Chodzi głównie o wtyczki Arcade (starglowone.com) i Top Lista (rll.dk). Jeśli korzystacie z któregoś z wymienionych infusionów, zalecamy pobranie ich ostatnich wersji z podanych wcześniej adresów lub ich odinstalowanie, do czasu ukazania się aktualizacji.
Dodatkowo dobrym pomysłem byłaby zmiana wszystkich haseł.
Obecnie priorytetem jest zapewnienie bezpieczeństwa, jednakże nie jesteśmy w stanie przetestować każdego infusiona z osobna, szczególnie tych spoza sektora oficjalnego. Jak to jest możliwe, próbujemy zapewnić wysoką jakość zawartość Bazy wtyczek, ale jesteśmy tylko ludźmi. Infusiony, rozpowszechnione przez osoby trzecie, nie mają gwarancji naszego zespołu.
Twoja strona została zhakowana i potrzebujesz pomocy? Dobrze, nie panikuj. Po prostu zapytaj na forum i spróbujemy Ci pomóc.

Komentarze

#11 | Pieka dnia 06 kwietnia 2007 15:28
Prosze Smile Dlatego ten art bedzie rowniez u nas, tym bardziej, ze Wooya go pisal...
#12 | Riklaunim dnia 06 kwietnia 2007 16:15
To ja dorzucę kilka linków PL: 1 2 3.

Oprócz tego warto oglądać http://www.milw0r... Smile
#13 | Gander dnia 06 kwietnia 2007 23:04
Już od ponad miesiąca rozmyślałem o ataku na php-fusion poprzez wtyczki, a tydzień temu powiedziałem @Piece że należałoby sprawdzać wszystkie nowe wtyczki wprowadzane do laboratorium i oznaczenie bezpiecznych czymś na kształt certyfikatu. Nie mam tu na myśli tylko wtyczek podatnych na ataki SQL Injection i XSS, ale także wtyczek-trojanów stworzonych przez crackerów celem włamania się do systemu.
#14 | m_i_n dnia 07 kwietnia 2007 00:15
wtyczek-trojanów

LOL! A sa takie? Ale szambo.
#15 | Riklaunim dnia 07 kwietnia 2007 02:17
kiedyś jeden z modów do Mambo przy instalacji wysyłał cichcem dane bazy danych, adres itp. do autora skryptu Smile Wszystko jest możliwe... Jak skończę zlecenie co teraz wykańczam to wezmę się za infusiony itp. Smile
#16 | m_i_n dnia 07 kwietnia 2007 09:31
No w sumie racja. Kto sprawdza kod infusiona przy instalacji.
#17 | Gander dnia 07 kwietnia 2007 12:26
Zapewniam cię że crackerzy już wykorzystują tego typu wtyczki...
#18 | Wooya dnia 08 kwietnia 2007 15:44
Artykul przetlumaczony i wyslany do Pieki Smile Niechaj opublikuje Smile

Co do bezpieczenstwa modow i infusionow od tego miala byc strona beta.phpfusion-mods.com ale... Wink

Mysle, ze trzeba zebrac ekipe pod swiatlym przywodztwem Riklaunima i sie wziac za porzadne testy i oblukiwanie kodow. Poniej zaktualizowac informacje w Labolatorium np. "Infusion bezpieczny" lub "Nie tykaj. Nie odporny na XSS" Wink
#19 | Pieka dnia 08 kwietnia 2007 16:10
Artykul zostal poprawiony, oprawiony i opublikowany Smile
Zapraszamy do lektury: Jak pisać bezpieczne MOD'y i INFUSION'y
#20 | Riklaunim dnia 08 kwietnia 2007 18:14
ogólnie do sprawdzania czy coś jest liczbą zazwyczaj stosuje się is_numeric(). Przydatne mogą być też funkcje ctype - ctype_alpha() - czy string składa się z literek (np. używanych w _GET). Warto też wspomnieć o SQL Injection Smile

Dodaj komentarz

Zaloguj się, aby móc dodać komentarz.
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl