Раскрытие директорий в ЛС. Часть 2-5
С момента публикации моего топика найдено ещё 4 лазейки, позволяющие злоумышленнику узнать имя аккаунта на вашем сервере. Часть из них связана с неверным типов переменных, которые специально формируются заведомо ложными и вызывают ошибку, часть — в связи с приходом пхп 5.4, который имеет разные нововведения, но также отныне вызывает ошибку уровня e_notice при преобразовании массива в строку:
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-2.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-3.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-4.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-5.html
и заключительный топик, в котором есть файл со всеми фиксами для последней публичной версии ЛС 1.0.1
З.Ы. Когда я закончил 5 топик, я нашел ещё такие же проблемы, но напишу о них позже. Вы можете быть в курсе последних событий, касающихся безопасности ЛС, читая блог Безопасность LiveStreet CMS на сайте гида по лс.
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-2.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-3.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-4.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-5.html
и заключительный топик, в котором есть файл со всеми фиксами для последней публичной версии ЛС 1.0.1
З.Ы. Когда я закончил 5 топик, я нашел ещё такие же проблемы, но напишу о них позже. Вы можете быть в курсе последних событий, касающихся безопасности ЛС, читая блог Безопасность LiveStreet CMS на сайте гида по лс.
10 комментариев
это касается текущей публичной версии ЛС, а не той, что на гитхабе, в ту вносить правки крайне сложно т.к. после чьих-либо правок в момент мержа данных уже не подходят правки других и приходится постоянно переделывать.