Как взломать Joomla, WordPress, MODx, etc за 5 минут Филипп Кулин, phil@dreamless.ru 01.06.2013.

Презентация:



Advertisements
Похожие презентации
Тестирование безопасности или Security and Access Control Testing.
Advertisements

ПРОВЕРЬ СЕБЯ! ПРОВЕРКА.
Статичный сайт Если тысяча пользователей запросит такую страницу у сервера, то они получат тысячу абсолютно одинаковых копий html-файла. Сайт, устроенный.
CMS W ORD P RESS - ЭТО БЕСПЛАТНАЯ СИСТЕМА УПРАВЛЕНИЯ САЙТОМ. W ORD P RESS ОЧЕНЬ ПОПУЛЯРНАЯ ПЛАТФОРМА, И В НАСТОЯЩИЙ МОМЕНТ НАСЧИТЫВАЕТСЯ ОЧЕНЬ МНОГО W.
Код-ревью На страже ваших багов. © Александр Швец.
Требования к параметрам тарифного плана по хостингу для эффективной работы веб-проекта на Drupal Семинар для клиентов Возможности и архитектура.
Как улучшить производительность проекта за три шага Шаромов Денис руководитель отдела техподдержки.
Перевод html-сайта на CMS WordPress П.В.Коршаков Методист КУ ЛМР «Ресурсный центр» 1.
По заполнению годовых статистических отчетов за 2011 год в «МИСТЕРе»
§ 20 Предпочитайте иерархию классов вместо помеченных классов.
Принципиальные изменения в версии 6.0. Оптимизация. Производительность продукта Сергей Рыжиков Генеральный директор ООО «1С-Битрикс»
Технология MVC в высоконагруженных проектах Андрей Шетухин Илья Космодемьянский.
Интегрированный урок окружающего мира и ИЗО Учитель начальных классов МБОУ «Гимназия 102 им. М. С. Устиновой» г. Казань РТ Басаргина Ольга Владимировна.
Работа с файлами Ускоренный поиск файлов Запуск и автоматическое исполнение файлов программ – (файлы – программы – это файлы, содержимым которых являются.
Добавление компонентов Титоров Даниил Юрьевич. Зачем нужны компоненты «Чистая» joomla умеет не так уж много, компоненты расширяют ее возможности. Они.
Выполнили ученицы 11 б класса Трушина Анна и Степанова Валерия.
Joomla! Система управления контентом с открытым исходным кодом.
Особенности разработки универсальных CMS Хряпин Кирилл Руководитель разработки CMS NetCat
Программа RCMCSVConsole. Скопировать файлы, полученные из РЦОИ Скопировать файлы из папки соответвующей вашей школы например поместить их в программы.
Представил студент группы И-52, инженер ЦКТ Руденко Я.В.
Транксрипт:

Как взломать Joomla, WordPress, MODx, etc за 5 минут Филипп Кулин,

Ваша CMS проверяет, что загружают? Отсутствие комплексной проверки файла или ошибка в проверке Загрузка файла с расширением.PHP вместо картинки Интерпретция apache'ем файлов image.php.jpg как файла.php Функция fileinfo()

Превьюшки картинок Для простоты в параметре просто путь. Например было долго у TinyMice Это же превьюшка, зачем там что-то проверять? Одна из наиболее популярных уязвимостей WordPress

Как искать Искать файлы.php начинающиеся на GIF89 'eval(base64_encode(' обычно нужно только для сокрытия кода *.php в папке /images/, /img/, /upload/, /files/

Что с этим делать клиенту Универсального способа нет. Антивирусы не имеют базы сигнатур дырок CMS CMS делают исправления только нового кода. Обновляться. Закрывать исполнение php в папках для загрузки

Что делать нам Универсального способа нет. Я предоставляю шаблоны nginx с закрытыми каталогами картинок 1GB.RU по шаблону вроде /wp-admin/ перекидывает на страничку подтверждения mod_security?

ВОПРОСЫ? Филипп Кулин