engine/modules/security/Security.class.php

/**
	 * Проверяет наличие security-ключа в сессии
	 *
	 * @param null|string $sCode	Код для проверки, если нет то берется из реквеста
	 * @return bool
	 */
	public function ValidateSessionKey($sCode=null) {
		if(!$sCode) $sCode=getRequest('security_ls_key');		
		return ($sCode==$this->GenerateSessionKey()); //TRUE никогда не возвратит?
	}

Соответственно тут валиться

/**
	 * Производит валидацию отправки формы/запроса от пользователя, позволяет избежать атаки CSRF
	 */
	public function ValidateSendForm() {
		if (!($this->ValidateSessionKey())) {
			die("Hacking attemp!");
		}
	}

Гуглил по запросу «livestreet Hacking attemp», тем много, все читать лень, но как понимаю возможно проблемы связанные.

p.s.
'Hacking attemp!' != 'Hacking attempt!'

Привет, наконец то переехал на DS. Поставил nginx(фронт)+apache2 rpaf(бэк), мускулы. Memcache пока не ставил.

Создал новую бд, экспортировал ее с сайта
Загрузил чистую лс + диры uploads, plugins и templates
Поставил.

Все бы ничего, только сайт стал нормально запускатся только после того, как я сделал chmod -R 0777 на диры templates, plugins и uploads. Вот тут у меня возник вопрос, тут же права на запись всем, по идее это плохо для безопасности, правильно? Или наоборот, все в порядке и так и надо было сделать? Если все таки не правиьно посоветуйте пожалуйста как обезопасится.

И следом вопрос номер 2.
На предыдущем shared хостинге для того чтобы настроить почту мне нужно было зайти через веб интерфейс создать ее и прописать в конфиг ls. Как бы мне теперь сделать чтобы на чистом дебиане тоже был сервер почты, который бы высылал инвайты пользователям.
Читать дальше →

Выбрали этот CMS для ведения полупубличного ресурса с множеством закрытых блогов и закрытых спойлерами частей постов.
Вот возник вопрос… насколько легко взломать, насколько «взломостойка» эта CMS (доступ к информации), как часто находят уязвимости.
Какие мероприятия специфического (по отношению к этой CMS) характера нам следует провести?
Спасибо
PS в будущем могли бы нанять кого то в консультанты… но пока хочется понять общие моменты

При попытке выйти с сайта выдается Hacking attempt! В строке браузера ссылка вида:

ateist.me/login/exit/?security_ls_key=

Пробовал в разных браузерах, разными пользователями. Пробовал чистить базу сессий. Пробовал отключить механизм сессий, но при попытке сохранения тоже выдало Hacking attempt!
Последние действия установка-удаление модулей Gravatar, Userpanel. Так же пробовал включать мемкеш, потом вернул файловый кеш. После каждого действия чистил кеш шаблона и кеш в тмп.

При попытке сохранить настройки в /admin/site/settings/sys/
тоже Hacking attempt!

Помогите!

— Проблема решалась, вернул Security в автолоад. Вычитал тут в комментариях, что можно только Lang оставить для повышения скорости. Оказывается нет.

Для ускорения лучше включать memcache. Установка из портов для free-bsd

cd /usr/ports/databases/pecl-memcache
make install clean
cd /usr/ports/databases/memcached
make install clean

и обязательно
Так же желательно сделать

memcached -d -m 1024 -p 11211 -u nobody -l 127.0.0.1.

-m это сколько занимать максимум. оставьте запас.
Порт нужно указать, иначе не будет определятся на нужный нам порт и будет ошибка как тут:
Your text to link...
Тут же вроде остается прослушивание только на локалхост.

Вот прочитал любопытную статью habrahabr.ru/blogs/infosecurity/40418/

Любопытно кто нибудь проводил «независимый» тест livestreet?