Citat:
Schnak3 kaže:
Joomla
Ma koliko Vam govorili da je Joomla veoma laka i dobra za početnike i zahtevne korisnike veoma vas lažu.Joomla je bušna ko švajcerski sir. Mada iole ozbiljan web-master će svakodnevno uploadovati nove verzije oni manje iskusni će se držati starije. Čak i nove verzije imaju sigurnosne propuste. Mogu vam navesti primer: u sve Joomla sajtoveispod verzije 1.5.x.x može se lako ući preko jednostavne krađe kolačića (ušao sam na admin panel Srpske Joomle ali nista nisam hteo da uradim zato što znam koliko se ljudi trude a i držali su prezentaciju u Nišu)
Gmail Brute Force Attaker
Za sada ni GMail nije siguran.Skripta koristi brute force (sirovu snagu) ili vec datu databazu i tako vam nalazi sifru.Ljudi kazu da u 30% slucajeva uspeva.Skripta je relativno nova. Probaću je ovih dana mada čisto sumnjam da radi zato što će ljudi iz Googla da poprave pukotinu.
|
Za Joomlu si u pravu. Mada i najnovija verzija je busna. 0day exploiti cine cuda. Npr, to sto si spomenuo verzije ispod 1.5.xx, mislis li na "token" ili nesto drugo? Tacnije ovo :
/index.php?option=com_user&view=reset&layout=confir m
???
Problem kod free cms resenje je to sto to rade ljudi koji nisu placeni za to, a obicni korisnici kao mi sigurno ne placaju donacije i slicne stvari. Zato problemi i nastaju jer nema ko da radi na sigurnosnim problemima. Tako da ja nikada nisam za free php resenja tipa joomla, mambo, phpnuke, e107, drupal itd..
A sto se tice Gmail Brute Force Attacker-a nemam sta da kazem. To je cista glupost. Citao sam dosta o tome i jos nisam nigde nasao da je neka sifra provaljena, tako da bruteforce metode polako idu u penziju, za dobar bruteforce napad ti treba wordlista teska par GB-a i masina koja bi vrtela taj napad danima, naravno sve zavisi od sifre, koliko karaktera, koja je kombinacija itd..