Bezpečnost vlastního CMS

HackForum

Bezpečnost vlastního CMS#
Ahoj,

již delší dobu pracuji na svém CMS, jehož úkol je jak již bývá, abych si usnadnil svoji práci při tvorbě webů. Je tedy psát s vědomím, že se bude do budoucna rozšiřovat o nejrůznější pluginy a přizpůsobovat požadavkům uživatele. Systém jsem před nedávnem dopsal a již použil na několik menších webů.

Nicméně mám do budoucna strach, kdybych jej použil na nějaký větší projekt, kde jsou citlivá data, aby si někdo nenašel nějakou bezpečnostní chybku. Přece jenom, ač nějaké zkušenosti už mám, mohl jsem něco přehlédnout nebo jest něco, o čem třebas ani nevím.

Poslední verze systému běží zde: [link]
Je tam testovací článek, kde lze vkládat komentáře. Povolil jsem registrace, takže registrovat se můžete zde: [link]

Data, která vložíte nikde nevystavím a stejně je poté budu mazat. Případně mohu přidat i přístupové údaje pro admin účet. Ty bych však raději poslal PM.

Chyby, vyjímky a jiná hlášení loguji do souboru na FTP. Případně mohu zapnout debug mód, aby se vypisovali přímo na web.

Pokud by se někomu podařilo objevit kritickou chybu a získat nějaká citlivá data, i když mě nenapadá, co by tam tak mohlo být, tak budu rád, pokud je nezneužijete.

Rád udělám jakékoliv změny, výpisy, poskytnu potřebné informace. Budu vděčný za každou radu.

Díky za váš čas!

David
(odpovědět)
sczdavos | 37.188.233.*25.11.2013 20:00
re: Bezpečnost vlastního CMS#
Čau možná by si mohl zákazat vkládání komentáře pod přezdívkou admin.
Jestli můžu napsat příspěvěk pod registrovaným uživatelem nevím (nezkoušel jsem to), ale za nějakou chybu by se to asi považovat dalo.
(odpovědět)
chyba | 212.20.110.*26.11.2013 21:00
re: Bezpečnost vlastního CMS#
Ahoj,
díky za odpověď. Ano, mohl bych filtrovat nicky, nicméně, to už je spíše taková drobnost.

Především mi jde o kritické chyby. Zkoušel jsem na web pouštět několik programů, které testují bezpečnost, ty mi sice vyhrožovaly, jaký tam mám chyby. Jenže to označovalo za chybu čitelnost souboru robots.txt, že v něm jsou citlivá data, pokud uvedu například, kterou složku nechci dovolit indexovat vyhledávači.
Potom tam bylo ještě, že pole typu password by mělo mít atribut autocomplete="off".
Že pokud je tam input type password, tak musí web běžet na https. A takové nesmysle, to mi příjde trošku přehnané.

Ale co jsem zkoušel injekce, XSS atp. Tak všechno dopadlo dobře.
Jenže já nemám nějakej skill v hackování a neznám všechna zadní vrátka, proto mě to zajímá, jestli tu je něco o čem nevím.
(odpovědět)
sczdavos | 37.188.237.*26.11.2013 22:48
re: Bezpečnost vlastního CMS#
Mal bysom pro tebe vela chyb. XSS, jednu SQLi

(odpovědět)
Thomansori | 89.102.229.*28.11.2013 7:30
re: Bezpečnost vlastního CMS#
Tak povídej, piš to klidně sem. Pokud se chceš dostat ještě do systému, tak mi napiš na e-mail. Nicméně nejdřív by to chtělo zkusit jako normální registrovaný uživatel bez práv.
(odpovědět)
sczdavos | 195.113.151.*28.11.2013 8:32
re: Bezpečnost vlastního CMS#
Jen jsem nakoukl: XSS v přihlašovacím formu, možnost registrace na neexistujici mail/server. Při registraci se zadává heslo pouze jednou -> překlep a pápá. Nezobrazuje se mi žádný článek, ale přes komentáře se k němu dostanu -> záměr?

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website28.11.2013 9:08
re: Bezpečnost vlastního CMS#
Ahoj,
login form, to nejni bezpečnostní riziko, nicméně jsem to ošetřil (ještě jsem to nenahrál na FTP).
Registraci na neexistující mail řeším cronem. Jen taková otázka co se mi honí hlavou než si to pogooglím: PING nebo je nějaká kontrola doručení?
Když se zaregistruješ, tak ti na daný e-mail příjde potvrzení a tam máš i heslo, protože v tuhle chvíli to heslo je v postu. Pokud ho zapomeneš, tak se můžeš přihlásit a ono ti to řekne, jesti chceš obnovit heslo. A to ti vygeneruje nové heslo. Mě osobně dycky štvalo vyplňovat cokoliv dvakrát.
S těmi komentáři to myslíš jak?
(odpovědět)
sczdavos | 195.113.151.*28.11.2013 12:55
re: Bezpečnost vlastního CMS#
login form, to nejni bezpečnostní riziko

I XSS v přihlašovacím formuláři je bezpečnostní riziko! Je to potřeba ošetřit všude, ne jen v místech, kde je to vyloženě na ráně.
(odpovědět)
ScheRas | E-mail | Website28.11.2013 13:01
re: Bezpečnost vlastního CMS#
No hele, systém nic moc, XSS a jedno políčko při registraci místo dvou pro ověření správnosti. Absolutně špatně. Jinak pěkná práce. Napsat si vlastní CMS je dobrá věc. Jen to pořádně ošetřit, protože nabourání se tam je teď tak jednoduchý, že každej script kiddie je tam za 10 vteřin a to nijak moc nepřeháním :-)
(odpovědět)
Powerack | E-mail | Website | ICQ 2977591851.1.2014 21:46

Zpět
 
 
 

 
BBCode