Пароль к админке Joomla

  1. Weblancer
  2. Форум фрілансерів
  3. Програмування
Александр В.
771 повідомлення
#15 років тому
Всё всё всё, не буду спорить. Каждый выбирает инструмент под себя.
Николай Г.
601 повідомлення
#15 років тому
Цитата ("AmarenoCom"):
Простите, но это уже не факт, а фантазии . Какие вы можете назвать проблемы с безопасностью в текущей версии? Желательно критичные.
За последние пару лет в джумле (сторонние компоненты не в счет) серьезные критические уязвимости - единичны.
Практически во всех открытых популярных продуктах находят и закрывают уязвимости.
Это такой процесс развития. Главное за ним успевать. И джумла тут ничем особым не выделяется (кроме своей распространенности).

Угу, обновляться надо в среднем раз в 1-2 месяца. Это если не стоит никаких сторонних компонентов.
А как они могут быть не в счет? Часто встречаются сайты БЕЗ сторонних компонентов?...
Фрилансер У.
248 повідомлень
#15 років тому

Решайте сами.
Серафима Л.
10571 повідомлення
#15 років тому
dervinar, все версии пробовала и 1.0 и 1.5 и программами разными....
Часто ломают через Датсо гелери или по ФТП пичкают китайцы вирусами
Николай Г.
601 повідомлення
#15 років тому
Цитата ("AlexsimA"):
dervinar, все версии пробовала и 1.0 и 1.5 и программами разными....

Вы должны понимать, что "программами разными" люди, ломающие сайты не пользуются.
Потому, что "программы для взлома" тоже пишутся не мнгновенно, и как правило, к моменту написания такой программы, уязвимость уже закрывается.
Любой сайт в принципе ломается. Если есть исходный код, и он не очень продуманный и хорошо написанный - такой сайт еще и ломается быстро. Сайт на джумле ломается еще и легко.
Александр Ш.
12 повідомлень
#15 років тому
Цитата ("dervinar"):
Угу, обновляться надо в среднем раз в 1-2 месяца. Это если не стоит никаких сторонних компонентов.


Пальцем в небо
Говорю же - покажите мне критические уязвимости в джумле, которые заставляют вас так часто обновляться.

Цитата ("dervinar"):
А как они могут быть не в счет? Часто встречаются сайты БЕЗ сторонних компонентов?...


Вы не поверите, сайты бывают разные...
Очень часто вполне хватает стандартной джумлы с встроенным SEFом.

В целом, уязвимость компонентов не имеет никакого отношения к самой джумле.
Почему?
Джумла очень популярна, компонентов очень много.
И уже от конкретного сайта зависит, какие расширения ему нужно использовать, как их обновлять и т.п.
А это другая история и тут свобода выбора и действий.

В конце концов, плюсы приносимые такими системами как Joomla, Wordpress... многократно превышают все потенциальные и реальные минусы и угрозы.
Александр Ш.
12 повідомлень
#15 років тому
Цитата ("dervinar"):
Сайт на джумле ломается еще и легко.


И вам не стыдно пугать людей?

Ломается? Легко? Научите!!! Joomla 1.5.14
Николай Г.
601 повідомлення
#15 років тому
Цитата ("AmarenoCom"):

И вам не стыдно пугать людей?

Ломается? Легко? Научите!!! Joomla 1.5.14

Не стыдно.
1.5.14 когда вышла? В течении еще месяца в ней наверняка найдется уязвимость, возможно не одна. Если у меня будет острая необходимость, эту работу могу провести и я. Стимул "научить Вас" разумеется не может считаться острой необходимостью...
По поводу "серьезной и критической" - и не критической уязвимостью можно увести админский пароль, даже если это вроде бы безобидный XSS.
Пожалуйста, список только официально опубликованных уязвимостей джумлы.



Дальше искать лениво, сами найдете... В общем 5 неполных месяцев(с 29 апреля) и 3 уязвимости. Дальше там тенденция приблизительно такая же.
Вы должны понимать, что до того момента, как уязвимость попадет в Securitilab, она на менее официальных тематических форумах проводит несколько недель. И все это время заплаток, как правило, не бывает.
Александр Ш.
12 повідомлень
#15 років тому
Отлично!

Три уязвимости, у которых, даже по приведенным вами ссылкам, стоит "Опасность: Низкая".
Вам нечем крыть, признайте.
Все остальные доводы не комментирую, т.к. они относятся к "если бы, может быть, возможно, где то там, слышал, но не знаю как...".
А мой вопрос был весьма конкретный - покажите мне свежие уязвимости джумлы, которые можно использовать, чтобы "легко и просто"...
К примеру, критическая уязвимость, которая позволяет используя выложенный в паблике эксплоит провести remote file inclusion атаку или хотя бы, SQL-inj.
Евгений Б.
5330 повідомлень
#15 років тому
Цитата ("dervinar"):
Вы должны понимать, что до того момента, как уязвимость попадет в Securitilab, она на менее официальных тематических форумах проводит несколько недель. И все это время заплаток, как правило, не бывает.

чето мне казалось, что что бы небыло паники все новости об дырах или эпидемиях придерживают. ну да бог с ними.... 3 дырки

- она закрывается настройками хостинга, так что отпадает. сферические ошибки в вакууме мы же не рассматриваем?

среднячек. такого мусора везде навалом, включая вконтакте и одноглазники


лучше подумайте над серьезностью
серьезность средняя (это так написали, что бы в ведомственных структурах где он стоит не обделались сразу), причем проблема на НОВЫХ версиях
Николай Г.
601 повідомлення
#15 років тому
Цитата ("ArtPro"):
лучше подумайте над серьезностью
серьезность средняя (это так написали, что бы в ведомственных структурах где он стоит не обделались сразу), причем проблема на НОВЫХ версиях
]http://www.securitylab.ru/vulnerability/367880.php

Ну как бы никто не спорит, что в Битриксе их еще больше. В среднем, если учесть, что функционал голой джумлы не позволяет реализовать большую часть сайтов, защищенность среднестатистического сайта на на джумле примерна равна защищенности сайта на битриксе...
Перша
12