1

Тема: Уязвимости

Движок хоть и сделан удачно, но не лишён уязвимостей. Для выявления их я использовалt Artisteer, именно этой программой хакеры пытались хакнуть мои сайты.

Но для начала хочу сказать:

  • устанавливая движок на хостинг, свой сервер или локально, всегда используйте длинный пароль из разных символов и имя пользователя, о котором будет трудно догаться (не admin! и не похоже на название вашего домена)

  • Обязательно установите плагин GST AdminLock, чтобы не дать обнаружить вашу админку

  • Не забудьте установить плагин kt block login, чтобы не дать ботам узнать пароль от вашего аккаунта

А теперь непосредственно уязвимости:

  • Файлы пользователей хранятся в /data/users/%name%.xml и существует возможность найти имя админа методом перебора, и ВНИМАНИЕ! в файле находится ваш логин, почта и пароль в SHA1, если ваш пароль состоит из 6 символов, его хэш можно найти в интернете и хакнуть вашу админку

  • В админке есть восстановления пароля (/admin/resetpassword.php), злоумышленник может воспользоваться ничем не защищённой формой в своих целях, я советую защитить этот файл поставив например дополнительный пароль или привязать его к ip

  • Некоторые плагины имеют формы, не защищённые от XSS, их можно проспамливать или даже внедрять свои коды, советую предельно внимательно отнестить к вашим плагинам и провести анализ форм

Сайт opiums

Поделиться

2 (2018-10-13 01:08:00 отредактировано Sveta)

Re: Уязвимости

opiums пишет:

... Для выявления их я использовал Artisteer, именно этой программой хакеры пытались хакнуть...

Скажите пожалуйста, как конструктор сайтов Artisteer может взломать сайт, созданный не ею?

Поделиться

3

Re: Уязвимости

Никак, я тогда опечатку допустил))
Acunetix я использовал

Сайт opiums

Поделиться