• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.
    Помогите модератору этого раздела killoff лично.

Информация Аудит информационной безопасности DLE - Обсуждение

Будем проводить аудит?


  • Всего проголосовало
    27

masima

Хранитель порядка
Регистрация
9 Мар 2007
Сообщения
732
Реакции
1.350
Добрый день, уважаемые участники сообщества Nulled.

Сегодня я бы хотел поговорить и пообщаться с вами на тему безопасности ВАШИХ данных и проектов, реализованных с помощью CMS DLE.

Я уверен в том, что сейчас я вам расскажу!

Каждый из нас/вас и т.д. сталкивался с проблемой взлома сайта на движке DLE. Порой в наших проектах появляется совершенно неоткуда не понятные JS инклуды, ссылки в новостях, проекты клоны (с таким же дизайном и контентом), всякие вирусы, попапы, рекламы и т.д. Это проблема волнует всех и не может не остаться не решенной. И если мы с вами будем сидеть на попе и дальше она не будет решена и дальше! Давайте обезопасим все свои данные сами! (и не говорите только что вас эта тема не затронула, начиная с версии 9.5 я имел порядка 300 шелов, а сейчас имею доступ к более чем 600 админкам, шелы тоже остаются быть живыми, про наличие бэкдоров я молчу, их тоже хватает)

Предлогаю:
1. Найти грамотного исполнителя с опытом проведения аудита PHP кода для проведения исследований в части безопасности данных для участников сбора.
2. Собрать необходимые средства запрошенные исполнителем для реализации проекта.
3. Провести исследование и пофиксить все найденные уязвимости!

На выходе каждый из участников сбора получит баг фикс и гарантию безопасности своих данных.

Текущий релиз DLE 9.7 - я полагаю при долгом обсуждении и сборе средств (этого я не исключаю т.к. каждый из нас уже привык к халяве) всё может затянуться до версии 10.0! Так что новая ветка с новыми фиксами!

Все вопросы задавайте в этой ветке. Сбор средств будет организован посредствам топика в ветке "Скидываемся".

Готов с каждым индивидуально пообщаться по поводу безопасности в DLE.
Мои контакты:
ICQ 498.878.498

p.s. своё фе высказывайте в другом месте и не хамите - помните, что безопасность ваших данных зависит только от вас!

p.p.s. не исключен исполнитель из члена участников сообщества nulled.сс
 
А вы не думали про вариант, который очевиден - наймёте толкового кодера за 50к . Он месяц будет аудит проводить , а на выходе скажет нету багов в самом скрипте, или парочка совершенно левых фиксов. Деньги на ветер, и все будут на измене и заказчики и кодер . :alko:
 
Заинтересован в Аудите, тоже буду скидываться.
 
Вопросы по аудиту:
Есть ли какие-нибудь официальные компании, которые занимаются аудитом? Можно ли составить договор на аудит так, чтобы аудитор(ы) несли ответственность в случае пропуска каких-либо багов в скрипте?
Может быть есть смысл нанять двух аудиторов?
Целсофта кто-нибудь уведомлял об этой ветке, может быть он всё же заинтересуется...
 
Я за аудит, но соберется ли такое кол-во народа? Подавляющее большинство сайтов на DLE имеют сторонние дырявые модули, через которые часто и заливаются шелы и прочий мусор. Владельцу сайта с модулями какой смысл скидываться на аудит чистого скрипта, если в последствии через его модули сайт поломают?
 
Можно ли составить договор на аудит так, чтобы аудитор(ы) несли ответственность в случае пропуска каких-либо багов в скрипте?
Нельзя. Если будет заявлено обратное, гарантировано пиздят.
Более того, для составления такого договора нужно задокументировать весь код.
А то вдруг вы сами дыру сделали после аудита, чтобы бабулеток отжать. :)
Тема пустая. Ничего не соберете, ничего не закажете.
Для движка ценой в 50 баксов заказывать аудит за куеву тучу денег.
Это вам к разработчику. Его задача залатать все дыры.
 
Хотел бы поучаствовать, как тема ближе к делу подойдет отпишите в ЛС пожалуйста или на мыло!
 
Неужели все настолько плохо с безопасностью DLE? Как обстоят дела с последней версией?
 
Неужели все настолько плохо с безопасностью DLE? Как обстоят дела с последней версией?
А ты как предлагаешь это без Аудита узнать? На первый взгляд и в 9.5 багов не было, а вон ломали сколько...
 
А ты как предлагаешь это без Аудита узнать? На первый взгляд и в 9.5 багов не было, а вон ломали сколько...
Основная проблема - скрипты DLE, к которым можно обращаться напрямую (ajax и т.д.), если фильтрация недостаточная - превед взлом. Это вопрос времени. Конечно же огромный плюс к этому всему - используемое ПО: версии apache, php, nginx, mysql и их настройки.

К сожалению, есть хостеры, которые на серверах имеют страницы с phpinfo. В логах видал разные попытки подключения файлов со сторонних ресурсов. Если помнишь была проблема с подключением внешних картинок - XSS-атаки. Если юзеру разрешено подключать в коментах и новостях такие картинки - он вполне может сформировать gif-shell с php. У конечного юзера будет всплывающее окошко с просьбой ввести пароль (аутентификация) - и если он его вводит - получаем пароль и логин из логов. Вариантов много, но сколько из них мы ещё не знаем?
 
А можно скромный вопрос? Компания производитель DLE зарабатывает на порядки больше 50к, но аудит кода для каждой версии не заказывает (а по факту постоянно обнаруживаемых дыр оказывается, что контроля качества в компании нет вовсе).
У уважаемых участников уйдет некое время и силы на организацию сбора средств, что по факту обеспечит выполнение работы, которую решила не делать компания производитель? И все это:
1. временно, тк выход следующей же версии потребует выполнять сбор средств и аудит заново или оставаться на старой версии.
2. в случае группового заказа аудита он будет произведен только для общей части кода для всех - ядра и ключевых плагинов, но у 80% скидывающихся будут и свои уникальные плагины, которые не будут проходить аудит, что делает затею бессмысленной (а аудит всего кода у 100 сайтов взвинтит цену и разрушит идею разделения цены на небольшие для каждого участника блоки)
3. со слов ТС безопасность и сама архитектура системы похожа на дом из старых досок, в котором свистит ветер в многочисленных щелях, которые тут не просто случайнные трещины, а часть архитектуры и характеристика примеряемых материалов при создании системы. Если собравшиеся пользователи выросли над такой системой, ее качеством и отношением к самим пользователям, и поставили перед собой такой важный вопрос о своих рисках, то почему бы и правда не начать смотреть шире и думать о своих изначальных целях, а не о чужих проблемах, которые вынужненно стали своими?
P.S. У известной российской security компании есть софт для автоматизированного отлова 80% дыр. Это будет на порядок дешевле. Можно как купить сам софт в складчину, тогда можно будет прогнать код сайтов всех участников вместе с плагинами, или заказать аудит в чистом виде.

Остается вопрос - почему пользователи, заплатившие деньги за продукт должны оплачивать его гаранртийное обслуживание из своего кармана? А если часть пользователей не заплатила за коммерческий продукт, то почему она должна платить еще больше, чем продукт коммерчески стоит в розницу за то, чтобы его привести в достаточный для разумного использования вид?
 
Назад
Сверху