АБРАКАДАБРА (Тоже самое но в читаемом виде)
Nedostatki sovremennix sistem upravlenia soderjimim.
Dla razrabotki koncepcii za6i6ёnnoy sistemi upravlenia neobxodimo takje rassmotret' naibolee 4asto vstre4au6iesa nedostatki bol'6instva sistem upravlenia.
Dinami4eskaa adresacia
Osnovnim nedostatkom bol'6instva CMS avlaetsa dinami4eskaa adresacia.
Primer standartnoy adresacii v CMS Joomla:
http://www.magilit.ru/index.php?option=com_content&task=view&id=2&Itemid=3
Takaa adresacia stranic pozvolaet atakuu6emu legko izmenat' zna4enia peredavaemix peremennix, 4to stavit pod ugrozu vsu sistemu bezopasnosti. Takje ispol'zovanie dinami4eskoy adresacii avlaetsa nejelatel'nim dla registracii sayta poiskovimi sistemami.
Po4ti vo vsex CMS dla re6enia etoy problemi ispol'zuetsa mod_rewrite, odnako ne vsegda podderjivaetsa kompaniami, predostavlau6imi uslugi xostinga.
Dla vklu4enia mod_rewrite v CMS Jommla sozdaёtsa fayl .htaccess, v kotorom zapisano:
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} (/|.htm|.php|.html|/[^.]*)$ [NC]
RewriteRule ^(content/|component/) index.php
V rezul'tate raboti mod_rewrite proisxodit podmena adresa zaprosa, na adres, ne soderja6iy imёn peremennim:
http://www.magilit.ru/content/view/2/3/
Odnako ispol'zovanie mod_rewrite ne pozvolaet za6itit' CMS ot pereda4i vidoizmenёnnix peremennix. V etom slu4ae vsa obrabotka i viavlenie atak lojitsa na sistemu upravlenia.
Eto dopuskaet vozmojnost' ispol'zovania dovol'no 6irokogo spektra atak realizuu6ix SQL-injection takim sposobom.
Neudobstvo sistemi obnovleniy
Lubaa sistema upravlenia soderjit uazvimosti, i za4astuu administratori zabivaut pro obnovlenia sistemi upravlenia. Eto mojet slujit' pri4inoy vzloma sayta i vsego servera.
Obnovlenia sistemi upravlenia avlaetsa dostato4no slojnoy proceduroy. Bol'6instvo sistem upravlenia ne pozvolaut osu6estvit' obnovlenie polnost'u avtomati4eski. Trebuetsa ix dorabotka rukami administratora, 4to vizivaet boazn' obnovleniy sistemi upravlenia.
Etu problemu vozmojno re6it' tol'ko pri pomo6i sistemi aktivnix obnovleniy. T.e. obnovlenie osu6estvlaetsa avtomati4eski. V bol'6instve sistem upravlenia avtomati4eskie obnovlenia osu6estvlautsa 4asti4no po zaprosu administratora iz sistemi upravlenia.
Obrabotka peredavaemix parametrov
Bol'6instvo CMS osu6estvlaut nepolniy analiz peredavaemix parametrov. Imenno na etom urovne mojno za6itit' sistemu upravlenia ot atak SQL-injection i PHP-including.
Dla osu6estvlenia nadёjnoy fil'tracii neobxodimo otbrasivat' vse special'niy simvoli i ostavlat' tol'ko bukvi latinskogo alfavita i arabskie cifri. Tem samim vozmojno garantirovat' nevozmojno osu6estvlenia nekorrektnix SQL zaprosov e6ё na urovne arda sistemi upravlenia.
| 