Главная Услуги Работы Персона Юзабилити анализы
IMG тел. +7(901) 370-1796
Неудобство системы обновлений




ПОИСК по сайту


    Полный список статей
/ Неудобство системы обновлений / Версия для печати / translit / абракадабра :-)


<-предыдущая следующая ->

 
  google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru smi2.ru twitter.com Яндекс закладки text20.ru RuSpace RuSpace toodoo

Недостатки современных систем управления содержимым.
 

         Для разработки концепции защищённой системы управления необходимо также рассмотреть наиболее часто встречающиеся недостатки большинства систем управления.

 
Динамическая адресация
 

Основным недостатком большинства CMS является динамическая адресация.

Пример стандартной адресации в CMS Joomla:

http://www.magilit.ru/index.php?option=com_content&task=view&id=2&Itemid=3

Такая адресация страниц позволяет атакующему легко изменять значения передаваемых переменных, что ставит под угрозу всю систему безопасности. Также использование динамической адресации является нежелательным для регистрации сайта поисковыми системами.

Почти во всех CMS для решения этой проблемы используется mod_rewrite, однако не всегда поддерживается компаниями, предоставляющими услуги хостинга.

Для включения mod_rewrite в CMS Jommla создаётся файл .htaccess, в котором записано:

RewriteEngine On

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteCond %{REQUEST_URI} (/|.htm|.php|.html|/[^.]*)$  [NC]

RewriteRule ^(content/|component/) index.php

 

В результате работы mod_rewrite происходит подмена адреса запроса, на адрес, не содержащий имён переменным:

http://www.magilit.ru/content/view/2/3/

 

Однако использование mod_rewrite не позволяет защитить CMS от передачи видоизменённых переменных. В этом случае вся обработка и выявление атак ложится на систему управления.

Это допускает возможность использования довольно широкого спектра атак реализующих SQL-injection таким способом.

 

 

Неудобство системы обновлений
 

Любая система управления содержит уязвимости, и зачастую администраторы забывают про обновления системы управления. Это может служить причиной взлома сайта и всего сервера.

 

Обновления системы управления является достаточно сложной процедурой. Большинство систем управления не позволяют осуществить обновление полностью автоматически. Требуется их доработка  руками администратора, что вызывает боязнь обновлений системы управления.

 

Эту проблему возможно решить только при помощи системы активных обновлений. Т.е. обновление осуществляется автоматически. В большинстве систем управления автоматические обновления осуществляются частично по запросу администратора из системы управления.

 

Обработка передаваемых параметров
 
      Большинство CMS осуществляют неполный анализ передаваемых параметров. Именно на этом уровне можно  защитить систему управления от атак SQL-injection и PHP-including.

      Для осуществления надёжной фильтрации необходимо отбрасывать все специальный символы и оставлять только буквы латинского алфавита и арабские цифры. Тем самым возможно гарантировать невозможно осуществления некорректных SQL запросов ещё на уровне ярда системы управления.


Создание эксклюзивных сайтов, юзибилити анализ и бесплатный анализ под запросы основных поисковых машин
Контактная информация :
тел. +7(901) 370-1796

Написать письмо на e-mail
icq 415547094  romverрейтинг на mail.ru сайта romverinbox.ru
© 1997 - 2017 romver.ru

Полная карта сайта Display Pagerank  
CMS version 3.6.3 | PTG 0,0318 s.