Propust - Resetovanje korisničke šifre i kreiranje token-a

 

Opasnost: Niska
Verzije: 1.5.15 i sve prethodne 1.5 verzije
Tip ranjivosti: Neovlašten pristup
Datum otkrivanja: 07.01.2010
Datum popravke: 23.04.2010

Opis
Kada korisnik pošalje zahtjev za resetovanjem šifre, token za reset šifre se upiše u bazu kao običan tekst! Ovo nije ranjivost samo po sebi, ali postoji mogućnost zloupotrebe ukoliko je instalirana neka komponenta u kojoj je omogućen naped putem SQL inekcije.

Rješenje
Nadogradnja na noviju verziju (1.5.16 ili novija).

Propust - Fiksiranje sesije (Sessation Fixation)

 

Opasnost: Umjerena
Verzije: 1.5.15 i sve prethodne 1.5 verzije
Tip ranjivosti: Session fixation
Datum otkrivanja: 25.03.2010
Datum popravke: 23.04.2010

Opis
Sesijski ID se ne mjenja kada korisnik pristupi sistemu. Udaljena lokacija (napadač) ima mogućnost da preusmjeri korisnika i da postavi specifičnu skriptu (cookie) za njegov pristup. Ukoliko korisnik pristupi sistemu, napadač može iskoristiti tu skriptu (cookie) da se prijavi kao korisnik.

Rješenje
Nadogradnja na noviju verziju (1.5.16 ili novija).

Propust - Migraciona skripta kod instalacije


Opasnost: Niska
Verzije: 1.5.15 i sve prethodne 1.5 verzije
Tip ranjivosti: omogućuje upload zlonamjernog koda
Datum otkrivanja: 30.12.2009
Datum popravke: 23.03.2010

Opis
Migraciona skripta pri instalaciji ne provjerava tip dokumenta koji se upload-uje. Ukoliko instalacioni direktorij Joomla-e nije izbrisan, napadač može da upload-uje zlonamjerne dokumente na server. 

Rješenje
Nadogradnja na noviju verziju (1.5.16 ili novija).

Propust - Negativna vrijednost u upitu za limit i offset

 

Opasnost: Umjerena
Verzije: 1.5.15 i sve prethodne 1.5 verzije
Tip ranjivosti: otkriva povjerljive informacije
Datum otkrivanja: 21.02.2010
Datum popravke: 23.04.2010

Opis
Ukoliko korisnik unese URL sa upitom (query) sa negativnom limitom ili offset-om, PHP će prikazati informacije o sistemu/serveru.

Rješenje
Nadogradnja na noviju verziju (1.5.16 ili novija).

10 Najglupljih Administratorskih trikova


10.Koristite najjeftiniji hosting provajder kojeg možete pronaći
      Po mogućnosti koristite djeljeni server na kojem su smještene stotine drugih sajtova, od kojih su i neke visoko prometne porno stranice. Ne provjeravajte popis preporučenih hosting provajdera.

---------------------------------------------------------------------------------
FYI: Možete da  koristite alate kao što je Robtext (ako koristite djeljeni  hosting ) da videte s kim dijelite prostor i ako bi trebalo da budete aktivni u zahtjevu da vas premjesti na drugi dijeljeni prostor. Na primjer: http://www.robtex.com/dns/joomla.org.html ili za STVARNO savršene informacije: Google.com: http://www.robtex.com/dns/google.com.html pokazuje domene, dijeli, informacije o domenu, crnu listu, analiza, kontakt
------------------------------------------------------------------------------------

9. Ne gubite vrijeme sa redovnim pravljenjem rezervnih kopija (beckup-om)
    Tražite od hosting servisa da vam to obezbjedi.

8. Ne gubite vrijeme sa podešavanjem PHP i Joomla! podešavanja za veću sigurnost.

    Hej, instaliranje je ubijanje mozga polako. Kako loš može biti ostatak? Brinuti o tim detaljima samo ako postoji problem.

7. Koristite isto korisničko ime i šifru za sve.

    Koristite istu korisničko ime i lozinku za vaš on-line bankovni račun, Joomla! administratorski račun, Amazon račun, Yahoo račun, itd. Hej, ko će gubiti vrijeme sa pamčenjem tolikih lozinki? A ipak, ako vi ne mjenjate lozinke, to je lakše jer samo koristite iste cijelo vrijeme, posvuda.

6. Instalirajte vaš novi Joomla!-Powered Template, i proslavite dobro obavljen posao.

    Ne brinite o tome ponovno. Uostalom, ako ne morate uraditi neke promjene, šta može krenuti pogrešno?

5. Da li sve nadogradnje na portalu idu odmah.

    Kome treba razvoj i testiranje servera? Ako instalacija nije uspijeva, samo ćete ga deinstalirati ponovo. To će, nadamo se poništiti problem prouzrokovan instalacijom .

4. Povjerenje ostalim dodacima

    Instalirajte sve dobre izglede koje pronadjete. Svako ko je pametan da napiše Joomla! dodatak će dati savršen kod, koji blokira svaki pokušaj napada, sada i zauvijek. Uostalom, gotovo sve ove stvari  su besplatne od strane dobronamjernih i dobrodušnih ljudi koji znaju šta rade.

3. Ne brinite o ažuriranju na najnoviju verziju Joomla!

    Hej, sve do sada ide kako smo zamislili , i ako nije doslo do problema ne popravljajte ništa! Isto to planirajte i za strane dodatke. To je puno posla, život je na plaži.

2. Kada vaš portal malo pokvari, svoj put ka rješenju potražite na Joomla! Forumima.

    Započni novi post sa vrlo upečatljivim naslovom: "Moj portal je Hakovan! (Sic)" Budite sigurni ne ostavljajte neke relevantne informacije, kao što su zastarjela verzije Joomla! i dodataka koje ste instalirali.

1. Nakon što se Vaš web portal pokvari, pokusajte popraviti index.php datoteku i smatrajte sve dobro odrađenim.

    Promijenite svoje šifre, uklonite čitav direktorijum i ponovno izgraditi cijeli direktorij iz čiste sigurnosne kopije, ili poduzeti koji drugi pretjerano paranoičnu akciju. Kad se hakeri vrate sljedeći dan, glasno  zavrišti da će te opet "biti hakovani," i za to je sve Joomla! 'Kriv. Zanemarite činjenicu da je izbrisana datoteka nije ni korak jedan u napornoj popravci grešaka portala.

Sigurnosni propust Front-End editor

 

Joomla sigurnosni tim je objavio novo otkriveni propust u verziji Joomle 1.5.14 i starijim verzijama. Radi se o sledećem propustu. Ukoliko pristupite portalu preko frontenda (preko naslovnice) možete mijenjati i članke drugih autora.

Propust je ispravljen u narednoj verziji 1.5.15 još 3. novembra 2009. godine.

Više o ovom propustu saznajte ovdje!

Ko je na portalu?

Ko je na portalu: 15 gostiju i nema prijavljenih članova

Statistika portala

Posjetioci
1922
Članci
469
Broj pregleda članaka
3420280

Socijala