Zobacz pełną wersję : Bezpieczenstwo w Joomla
Ostatnio natknołem sie na na coś takiego:
http://www.joomla.pl/index.php/content/view/11/25/?mosmsg=Ta+strona+jest+podatna+na+ataki+XSS+.
myslę że należałoby sie temu parametrowi "mosmsg" przyjrzeć dokładnie aby nie został wykorzystany do innych celów.
Gdyby ktoś nie zauważył - U góry strony pojawia się napis : Ta strona jest podatna na ataki XSS.
Pozdrawiam,
www.photo76.com (http://www.photo76.com)
OS ma to do siebie, że każdy może mieć wgląd w źródło, stąd też każdy może znaleść w nim jakieś bugi i właśnie to jest piękne. Wiadomo, jedni wykorzystują dziury do niecnych celów, inni natomiast lubią się przyczyniać do rozwoju oprogramowania i nie mają złych intencji. Myślę, że sprawa, o której mówisz zostanie poprawiona w następnych edycjach Joomli, więc nie ma się czego obawiać, poza tym Joomla jak i Mambo jest jednym z najlepiej dopracowanych cmsów GPL pod względem bezpieczeństwa także, zatem spokojna głowa.
Pozdrawiam
moze ktos z zarejestrowanych deweloperów zgłosiłby ta uwage do teamu joomla.
Wtedy bedzie realna szansa naprawy tego błedu w kolejnych wersjach joomla.
generalnie chodzi o filtrowanie parametru GET.
OK juz zgłoszona na developer.joomla.org myśle ze bedzie dobrze :)
nexus246
17-11-2005, 12:19
Może nie tyle o filtrowanie co o zrezygnowanie z przesyłania treści przez URL
informacja została podana do wiadomości deweloperów joomla
http://developer.joomla.org/sf/go/artf2155
Oto odpowiedź:
Johan Janssens (http://developer.joomla.org/sf/global/do/viewUser/Jinx;jsessionid=CF7856C3DED9A0D52A1956747A607ADB): 11/21/2005 3:51 PM PST
Comment:The mosmsg is always threated as a string and will be renedered as such to the site. It's impossible to use it as a XSS exploit.
Action:Update
Closed set to 11/21/2005.
Status changed from Open to Not Bug.
reasumując, nie ma sie czego bać.
a jednak wg joomla.org:
19-Nov-2005 Andrew Eddie
* SECURITY: Fixed XSS injection of global variable through the _GET array
Jest to łatka krytyczna:
Critical Level Threat
* Potentional XSS injection through GET and other variables
Miło ze team joomla tak szybko reaguje
Rzeczywiście, Joomla! jest jednym z najbardziej dopracowanych CMS-ów.
Drugim takim jest Drupal, ale to tak na marginesie.
nexus246
23-11-2005, 13:18
Livio dlaczego tak sądzisz?
ot, sorki za omyłkową edycje Twojego posta, nic nie zmienialem :D
Dlaczego tak myślę?
Joomla! ma dużo funkcji, a nie jest rozwijana dajmy na to od miesiąca i dlatego ma mało błędów.
Drupal również nie nalezy do młodych i również ma mało błędów, a to tylko dlatego, że niektóre funkcje są umieszczane nie w silniku, lecz w dodatkowych modułach [odpowiednik komponentu Joomla!].
Moduł Joomla! = Blok Drupal
Moduł Drupal = Komponent Joomla!
nexus246
24-11-2005, 20:46
eeee nie rozumiem za bardzo :)
vBulletin® v4.2.5, Prawa przedruku © 2024 vBulletin Solutions, Inc. Wszystkie prawa zastrzeżone.
Tłumaczenie: Polskie Centrum Joomla!