DataLife Engine - Softnews Media Group

"Zeos Antivirus" sukuria visų sistemai priklausančių failų atvaizdą, tad jei įsilaužėlis per kokią nors saugumo spragą įkelia į Jūsų svetainę shell failą, antivirusas el. paštu Jums atsiųs pranešimą, kuriame bus parašyta, kad tam tikroje svetainėje nurodytu adresu atsirado naujas failas. Po to Jūs galite prisijungti prie Jūsų serverio ir jį ištrinti. Šis sprendimas aktualus tiems svetainių savininkams, laiku neįdiegiantiems reguliariai išleidžiamų saugumo pataisų ar besinaudojantiems Nulled paketais. Žinoma, pastaruoju atveju dėl skripte dar prieš antiviruso diegimą jau esančių backdoor funkcijų jis veiks tik dalinai - šiuo atveju Jūs gaunate būtent tai, už ką mokate.

Problema: Lankytojas, kuriam leista įkėlinėti failus (ne iliustracijas) į serverį, gali išeiti už jam failų įkėlimui skirtos direktorijos ribų, o jei jis turi ir administratoriaus paskyrą svetainėje, taip pat pažeisti skripto failus.

Klaida aktuali šioms versijoms: visos versijos

Pavojaus lygis: Vidutinis (Aukštas, jei svetainėje yra ir kitų administratorių bei Admin. Centre įgalintas failų įkėlimas).

v8.5 distributyvas atnaujintas.

Problema: esant tam tikroms sąlygoms, svetainės atžvilgiu galima atlikti XSS ataką. Ši sąlyga - tai svetainėje autorizuoto administratoriaus lankymasis įsilaužėlio specialiai paruoštoje svetainėje, tuo pat metu naudojantis senomis naršyklių versijomis. Tai gali sukelti naršyklės cookies ("sausainiukų") failų perėmimą. Reikšmės tam turi ir naujas atakos tipas (tabnapping), kai užkrėstos svetainės trumpam pakeičia savo turinį, lankytoją per išorines nuorodas perkeldamos į kenkėjiškas svetaines. Atsidarius kelis naršyklės langus su daug įvairių svetainių ir forumų puslapių (ypač Warez), juos sužiūrėti sunkiau, tad perėmimo pavojus didesnis.

Pastaruoju metu pradėjome gauti pranešimų apie tai, kad svetainės sulaukia masinio asmeninių žinučių siuntinėjimo, atliekamo spamo programomis. Naujoje skripto versijoje bus peržiūrėta daugelis apsaugos algoritmų, įgalinančių visiškai nutraukti tokius veiksmus. Dabartinėje skripto versijoje tam egzistuoja du apsaugos mechanizmai. Pirmasis - tai Captcha įjungimas lankytojų grupių nuostatose komentarams ir asmeninėms žinutėms (PM). Šis mechanizmas užtikrina pilną apsaugą nuo šiuo metu spamerių naudojamų programų; antras, kiek radikalesnis būdas - tai lankytojų grupių nuostatose atjungti leidimą naudotis asmeninėmis žinutėmis. Žinoma, šiedu metodai turi ir savo trūkumų, pavyzdžiui, daugelis nenori įgalinti Captcha komentarams, nors mes rekomenduojame jį įjungti paprastiems lankytojams, nes tai labai geras mechanizmas prieš spamą komentaruose.

Tiems, kam šie metodai netinka, norime pateikti nedidelį, laikiną papildomą apsaugos nuo spamo mechanizmą, praversiantį, kol išeis nauja skripto versija.

Ši tema skirta licenzijuotų ir piratinių DLE TVS versijų aptarimui. Ne vienas, ypač pradedantis, webmasteris sau ir kitiems dažnai užduoda  klausimą: ką ir kodėl pasirinkti  savo ar klientui kuriamai svetainei? Svarbūs niuansai darant tokį sprendimą - tai jūsų pasirinktos turinio valdymo sistemos (TVS) saugumas ir žmogiškasis faktorius. Galima išskirti kelias šios problemos dalis:

1. Bazinis TVS saugumas. Jis priklauso nuo sistemą kuriančių programuotojų, t.p. kitų žmonių AJAX, javascript, MySQL, PHP versijose rastų klaidų. DLE kūrėjai atsako už savo kuriamą licenzijinį produktą ir jo palaikymą, tuo tarpu Nulled versijas leidžiančios grupuotės jokių įsipareigojimų galutiniam vartotojui neturi. Pagrindinė už sistemos pardavimus gautų pajamų dalis naudojama naujų funkcijų kūrimui, TVS sąsajos gerinimui, projekto palaikymui, programuotojų ir dizainerių darbui apmokėti. Savo dalį "suvalgo" ir serverio aparatinės/programinės įrangos atnaujinimas ir visa tai, kas susiję su projektu ir sistema, kaip visuma.

Tokiu būdu, Nulled versijų naudojimas tiesiogiai stabdo DLE projekto plėtrą. Taip pat ne paslaptis, kad Nulled "relizai" pasižymi pašalintomis ar atjungtomis saugumo funkcijomis. Dalis tokių paketų (rusiškai dažnai vad. «сборка») turi "juodąjį įėjimą" (backdoor) prie sistemos administravimo funkcijų, įskaitant pilną jų perėmimą. Kai kuriuose jų įdiegti automatizuoti naujienų graberiai ar funkcijos, leidžiančios norimu metu pasidaryti duombazės kopijas - spamerius ypač domina lankytojų registracijai svetainėse naudojami el. pašto adresai. Nulled versijose veikia naujienų/komentarų rašymas tiesiogiai į duombazę, apeinant licenziniame pakete veikiančias nuostatas.